Reconocimiento facial en aeropuertos: las personas deben tener el máximo control sobre los datos biométricos

24 May 2024

Bruselas, 24 de mayo - Durante su último pleno, el CEPD adoptó un dictamen sobre el uso de tecnologías de reconocimiento facial por parte de los operadores aeroportuarios y las compañías aéreas para racionalizar el flujo de pasajeros en los aeropuertos*. Este dictamen del artículo 64, apartado 2, a petición de la autoridad francesa de protección de datos, aborda una cuestión de aplicación general y produce efectos en más de un Estado miembro.

El presidente del CEPD, Anu Talus, ha declarado: «Cada vez son más los operadores aeroportuarios y las compañías aéreas de todo el mundo que pilotan sistemas de reconocimiento facial que permiten a los pasajeros pasar más fácilmente por los distintos puntos de control. Es importante tener en cuenta que los datos biométricos son particularmente sensibles y que su procesamiento puede crear riesgos significativos para las personas. La tecnología de reconocimiento facial puede conducir a falsos negativos, sesgos y discriminación. El uso indebido de datos biométricos también puede tener graves consecuencias, como el fraude de identidad o la suplantación de identidad. Por lo tanto, instamos a las compañías aéreas y a los operadores aeroportuarios a optar por formas menos intrusivas de agilizar los flujos de pasajeros, cuando sea posible. En opinión del CEPD, las personas deben tener el máximo control sobre sus propios datos biométricos».

El Dictamen analiza la compatibilidad del tratamiento con el principio de limitación del almacenamiento [artículo 5, apartado 1, letra e), del RGPD], el principio de integridad y confidencialidad [artículo 5, apartado 1, letra f), del RGPD], la protección de datos desde el diseño y por defecto (artículo 25 del RGPD) y la seguridad del tratamiento (artículo 32 del RGPD). El cumplimiento de otras disposiciones del RGPD, incluidas las relativas a la licitud del tratamiento, no entran en el ámbito de aplicación de las presentes conclusiones.**

No existe un requisito legal uniforme en la UE para que los operadores aeroportuarios y las compañías aéreas verifiquen que el nombre en la tarjeta de embarque del pasajero coincide con el nombre en su documento de identidad, y esto puede estar sujeto a la legislación nacional. Por lo tanto, cuando no se requiera la verificación de la identidad de los pasajeros con un documento de identidad oficial, no debe realizarse dicha verificación con el uso de datos biométricos, ya que esto daría lugar a un tratamiento excesivo de datos.

En su dictamen, el CEPD consideró la conformidad del tratamiento de los datos biométricos de los pasajeros con cuatro tipos diferentes de soluciones de almacenamiento, que van desde las que almacenan los datos biométricos solo en manos de la persona hasta las que se basan en una arquitectura de almacenamiento centralizada con diferentes modalidades. En todos los casos, solo deben tratarse los datos biométricos de los pasajeros que se inscriban activamente y consientan en participar.

El CEPD constató que las únicas soluciones de almacenamiento que podrían ser compatibles con el principio de integridad y confidencialidad, la protección de datos desde el diseño y por defecto y la seguridad del tratamiento, son las soluciones mediante las cuales los datos biométricos se almacenan en manos de la persona o en una base de datos central, pero con la clave de cifrado únicamente en sus manos. Estas soluciones de almacenamiento, si se implementan con una lista de garantías mínimas recomendadas, son las únicas modalidades que contrarrestan adecuadamente la intrusión del procesamiento al ofrecer a las personas el mayor control. 
El CEPD constató que las soluciones basadas en el almacenamiento en una base de datos centralizada, ya sea en el aeropuerto o en la nube, sin las claves de cifrado en manos de la persona, no pueden ser compatibles con los requisitos de protección de datos desde el diseño y por defecto y, si el responsable del tratamiento se limita a las medidas descritas en los escenarios analizados, no cumplirían los requisitos de seguridad del tratamiento.
En cuanto al principio de limitación del almacenamiento, los responsables del tratamiento deben asegurarse de que tienen una justificación suficiente para el período de conservación previsto y limitarlo a lo necesario para el fin propuesto.

A continuación, las APD adoptaron un informe sobre el trabajo del grupo de trabajo ChatGPT. Este grupo de trabajo fue creado por el CEPD para promover la cooperación entre las APD que investigan el chatbot desarrollado por OpenAI.

El informe proporciona puntos de vista preliminares sobre determinados aspectos debatidos entre las APD y no prejuzga el análisis que realizará cada APD en su respectiva investigación en curso***.

Analiza varios aspectos relativos a la interpretación común de las disposiciones aplicables del RGPD pertinentes para las diversas investigaciones en curso, como:

  • legalidad de la recogida de datos de formación («web scraping»), así como del tratamiento de datos para la entrada, salida y formación de ChatGPT.
  • equidad: garantizar el cumplimiento del RGPD es responsabilidad de OpenAI y no de los interesados, incluso cuando las personas introducen datos personales.
  • transparencia y exactitud de los datos: el responsable del tratamiento debe proporcionar información adecuada sobre la naturaleza probabilística de la salida de ChatGPT y hacer referencia explícita al hecho de que el texto generado puede estar sesgado o compuesto.
  • El informe señala que es imperativo que los interesados puedan ejercer sus derechos de manera efectiva.

Los miembros del grupo de trabajo también elaboraron un cuestionario común como posible base para sus intercambios con Open AI, que se publica como anexo al informe.

Además, el CEPD decidió desarrollar directrices sobre IA generativa, centrándose como primer paso en el raspado de datos en el contexto del entrenamiento en IA.

Por último, el CEPD adoptó una declaración sobre el «paquete de acceso a los datos financieros y pagos» de la Comisión (que incluye las propuestas de Reglamento sobre el marco para el acceso a los datos financieros (FIDA), el Reglamento sobre los servicios de pago (PSR) y la Directiva sobre servicios de pago 3 (PSD3)).
El CEPD toma nota de los informes del Parlamento Europeo sobre las propuestas FIDA y PSR, pero considera que, en lo que respecta a la prevención y detección de transacciones fraudulentas, deben incluirse salvaguardias adicionales de protección de datos en el mecanismo de seguimiento de las transacciones de la propuesta PSR. Es importante garantizar que el nivel de injerencia en el derecho fundamental a la protección de los datos personales de las personas afectadas sea necesario y proporcionado al objetivo de prevenir el fraude en los pagos.

Nota para los editores:
* El dictamen tiene un alcance limitado y no examina el uso del reconocimiento facial en general y, en particular, no cubre el uso del reconocimiento facial con fines de seguridad, control fronterizo o por parte de los organismos encargados de hacer cumplir la ley.
** En la solicitud, se supone que el tratamiento se basaría en el consentimiento de cada pasajero. Sin embargo, sobre la base del alcance limitado de la solicitud, el dictamen no examina la base jurídica y, en particular, la validez del consentimiento para dicho tratamiento.

***Hasta el 15 de febrero de 2024, OpenAI no tenía un establecimiento en la UE, por lo que no se aplicaba el mecanismo de ventanilla única y cada APD es competente en relación con posibles infracciones cometidas y terminadas antes de esa fecha. Las investigaciones nacionales relativas a posibles infracciones cometidas antes de febrero de 2024 seguirán debatiéndose en el grupo de trabajo. En el caso de infracciones que continúen o se produzcan después de febrero de 2024, se aplicará el mecanismo de ventanilla única.

Todos los documentos adoptados durante el pleno del CEPD están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y estarán disponibles en el sitio web del CEPD una vez que se hayan completado.
 

El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés.  El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.