Datos biométricos: otro enfoque
(Actualización: en mayo de 2023, el EDPB cambió diametralmente su criterio: la autenticación y la identificación se consideran desde entonces tratamientos biométricos prohibidos por el art. 9.1 RGPD. Dicho esto, el resto de este post ha envejecido perfectamente y así se queda)
El pasado lunes Xabier Ribas publicó este post: “El gran error de los datos biométricos”.
Aquí, la versión del post comentada (accedida el 26 de agosto de 2021).
El artículo de Ribas es argumentativo y va estructurando sus argumentos para alcanzar una conclusión que desde luego comparto (porque así lo dice el EDPB): un tratamiento que consiste en la autenticación de la identidad de la persona puede estar exento de la aplicación del oneroso régimen del artículo 9 del Reglamento General de Protección de Datos.
Pero me ha sorprendido apreciar una acumulación de premisas cuestionables. O, en mi modestísimo juicio (si es que se puede llamar juicio a lo mío), directamente erróneas, antes de alcanzar tan acertada conclusión.
Pero antes, permítanme que les cuente una de las mejores anécdotas de todos los tiempos (si no la mejor) para explicar la diferencia entre intimidad y protección de datos. Diferencia que viene a cuento, como verán.
Indice
- La cara, Manolo, la cara
- Pero volviendo al post de Ribas sobre datos biométricos
- “La identidad es un conocimiento oculto”
- “Muchas personas caen en el error de pensar que la invasión de la intimidad se produce en el acto de medir el cuerpo humano, de obtener métricas de un ser humano. Pero no es así.”
- “La clave, por lo tanto, reside en el carácter oculto de la identidad“
- Bonus track
La cara, Manolo, la cara
Un jovencísimo Manuel Fraga estaba inaugurando nosequé con Pío Cabanillas en Galicia durante un día de calor infernal, y se les ocurrió acercarse a una cala poco conocida, discreta, para quitarse la caló. La caló y todo lo demás, porque sucedía que no habían llevado bañador.
Y en cala estaban «braceando como cachalotes», cuando llegó un autobús lleno de tiernas colegialas regentadas por unas monjitas, con las mismas intenciones que ellos, pero seguramente, con bañador.
Al ver venir a las colegialas Fraga salió del agua despavorido rumbo hacia las piedras donde había dejado su ropa, tapándose con las manos sus partes pudendas, pero Cabanillas, que se había quedado en el agua discretamente, le gritó una lección inmortal de privacidad:
¡¡La cara, Manolo, la cara!! Tápese la cara, que por los cojones no le reconocerá nadie»
Trasfondo jurídico: Fraga podía elegir entre proteger su derecho de intimidad tapándose los cojones con las manos, o su derecho de protección de datos personales, tapándose la cara.
Y evitando así que monjas y colegialas vincularan al audaz bañista en pelotas con el joven Ministro de Información y Turismo.
Fuente: aquí. La historia me la indicó en twitter @guddenmoien, a quien no le puedo estar más agradecido. @Idemiguelb (Iñigo de Miguel) añadió el glorioso matiz de los cojones.
En cualquiera de sus versiones, una historia sublime que bien merecemos para alegrar el triste fin de las vacaciones.
Pero volviendo al post de Ribas sobre datos biométricos
Siempre puede ser que la modorra agostí haya hecho estragos en el interior de mi calva. No en vano estoy reformulando duramente mis documentos de TIA para transferencias internacionales de datos, y salgo a mirar otras cosas más entretenidas a ratos.
Así que haré lo que hago siempre: poner en común mi opinión para que los entrañables compañeros me indiquen dónde me equivoco.
“La identidad es un conocimiento oculto”
En realidad, cada vez son más cotidianos y preocupantes los tratamientos que compromete nuestros derechos, y que tienen lugar sin necesidad alguna de acceder o conocer nuestra concreta identidad.
Por ejemplo, toda la maquinaria publicitaria que desarrolla Facebook, o las plataformas de Adtech se produce sin que los anunciantes accedan a la concreta identidad de los desafortunados lectores que reciben el impacto de sus anuncios personalizados.
Al menos, erm, en teoría, en lo que toca a la Adtech.
Por esta razón, el Reglamento Europeo introdujo el concepto de “singularización” al lado del de identificación, dejando bien claro que la capacidad del responsable de tratamiento de –simplemente- singularizar al interesado entre sus iguales, confería a los datos objeto de tratamiento el “apellido” de “personales”, con la consiguiente aplicación del RGPD.
En un terreno más filosófico como dice Borja Adsuara, la identidad no es algo que esté oculto: de hecho no es un atributo de nuestra personalidad, es más bien algo que permite a los demás identificarnos y distinguirnos de nuestros iguales.
Nuestro nombre y apellido permiten a los demás dirigirse a nosotros. En realidad es más suyo que nuestro, a nosotros no nos sirven para nada porque nosotros ya sabemos quiénes somos.
Una manifestación de este malentendido básico fue la sorpresa de muchos cuando se clarificó que el “derecho al olvido” era igualmente exigible en relación con alusiones que no necesariamente explicitaran el nombre y apellido del afectado, sino simplemente su cargo, o cualquier otro identificador suficiente (“el alcalde”, “el violador del ascensor”).
“Muchas personas caen en el error de pensar que la invasión de la intimidad se produce en el acto de medir el cuerpo humano, de obtener métricas de un ser humano. Pero no es así.”
Claro que es así. Esta es la afirmación que me lleva a tomarme la molestia de escribir este post.
Dejemos aparte la confusión entre los conceptos de derecho de “intimidad” y “protección de datos personales” que recorre todo el texto, seguramente para facilitar su comprensión.
Este mismo argumento es el que sostenía la NSA para defender que “no trataban” los datos interceptados a los ciudadanos norteamericanos extranjeros, a pesar de que los almacenaban en sus servidores.
Sostenían que el tratamiento sólo se producía cuando accedían, leían dichos datos. ¡No antes!
Pero la mera conversión de cualquier dato en bruto en una plantilla biométrica a través de técnicas que permitan reconocer al interesado a posteriori en otro contexto ya compromete por sí sola su derecho fundamental de protección de datos personales.
Y eso es así, en general porque la jurisprudencia del tribunal europeo de derechos humanos así lo tiene reiteradamente declarado para cualquier –repito- cualquier tratamiento de datos personales.
Pero especialmente en relación, por ejemplo, con las técnicas de reconocido facial, el hecho de que se extraiga un patrón biométrico de una o varias imágenes del resto de la persona compromete seriamente un buen número de sus derechos.
El hecho de que se conozca o no simultáneamente su identidad, será una circunstancia agravante, no una precondición.
Piénsese que esto puede suceder (sucede, de hecho, a diario) sin el conocimiento, ni evidentemente el control, del interesado.
Pongamos dos ejemplos esclarecedores:
Clearview, la famosa y polémica empresa que ha escrapeado cuantas imágenes faciales disponibles ha sido capaz de las plataformas de redes sociales, vende un servicio muy codiciado: previa entrega de una o varias imágenes de tu objetivo, te suministra todas las que tiene disponibles en sus bases de datos correspondiente la misma persona.
Que el cliente sea capaz o no, de “identificar” al interesado, (es decir en este sentido de vincular las imágenes recibidas con su concreta identidad), tirando de todas las fuentes de datos que tiene a su disposición, es problema suyo. Porque la utilidad del servicio no se limita a la concreta ayuda en esa identificación.
Y si no que se lo cuenten al Ministro de sanidad británico que tuvo que dimitir en primavera tras la publicación de la imagen suya en la que aparecía “demasiado cerca” de una mujer que no era su esposa.
Yes, Minister
Como se ve, el daño se produce aunque no se conozca la concreta identidad de los tres implicados: esa mujer ahí tan cerca no es su esposa, y eso es todo lo que cuenta.
Clearview podría –cínicamente- argumentar que el data scraping de datos, imprescindible para su tratamiento biométrico posterior, no es el que pone en riesgo a los interesados, y que aquellos sobre los que no se requiera su servicio, están “completamente a salvo”.
“La clave, por lo tanto, reside en el carácter oculto de la identidad“
Sigue el autor con el ejemplo de las “capas de la cebolla”.
Como yo lo entiendo, en realidad, la identidad (los datos identificadores directos) constituyen un nodo más de datos personales, junto con otros nodos de datos: imágenes, idioma, formación profesional, lo que sea, -por citar algunos no especialmente sensibles-, y otros que sí son sensibles y que se enumeran en el post citado.
Esos nodos andan por ahí, a tu alcance, o no.
Pero el hecho de que se divulguen, o “se hagan manifiestamente públicos” esos datos de categoría especial -opiniones políticas, salud, convicciones religiosas, orientación sexual…- no los “traslada a la primera capa cebollera” sin más.
Y es así en la medida en que (EDPB dixit), no podrán ser objeto de tratamiento para finalidades que escapen a las legítimas expectativas del interesado en función de las circunstancias en que, efectivamente, divulgó tales datos.
Estas declaraciones anticipaban la caída en desgracia de las famosas «fuentes accesibles al público«.
Porque la privacidad es rabiosamente contextual.
Su perímetro y consecuencias dependen entre muchas otras cosas, de la naturaleza de los datos, de las expectativas del interesado al revelarlos, y muy especialmente de la capacidad del responsable para acceder a diferentes nodos de información e identificar o más bien, enriquecer la información con muchos más datos, aunque no sean asequibles para cualquier –o ninguna- otra organización.
Bonus track
Como bonus track, es difícil ignorar la presencia del argumento “es que es bueno contra el terrorismo” que, por sí solo, puede predisponernos frente a cualquier intento de legitimación de una nueva tecnología.
Así lo explica magistralmente Snowden en su totémico post de hoy, citando esta no menos totémica viñeta explicativa.
Feliz rentré. O lo que sea.
Jorge García Herrero
Abogado y Delegado de Protección de Datos.