Recientemente, tras la adquisición de la compañía israelí Face.com por parte de Facebook, el gobierno americano ha tomado cartas en el asunto evaluando el servicio de reconocimiento facial en el entorno de las redes sociales como un potencial peligro para la privacidad de sus usuarios.
Este nuevo servicio de reconocimiento facial, no operativo todavía en nuestro país, consiste en sugerir el nombre de los amigos que la aplicación reconozca en fotos que los usuarios suben a su cuenta de Facebook, para que éstos sean etiquetados en dichas fotos. Ante este hecho, la Federal Trade Comission estadounidense ha decidido emitir a finales del 2012 un informe donde se recomendarán una serie de buenas prácticas para el uso de estas tecnologías de manera que jurídicamente se respete la privacidad del consumidor.
Ahora bien, este nuevo servicio de Facebook, no sólo será utilizado en el entorno norteamericano, pues la problemática se extiende a lo largo y ancho del planeta, incluyendo a los usuarios de Facebook en España.
La cara buena de este servicio, es que, a través de una imagen se puede obtener información y la identificación de datos personales de un individuo, en muchos casos con fines beneficiosos para el conjunto de la sociedad, en sectores como la medicina (identificación facial de la emoción en el campo de la psicología) o en el de la seguridad ciudadana (seguimiento de sospechosos o investigación criminal).
Sin embargo, la cara mala es que dichos datos personales obtenidos a través de un reconocimiento facial, pueden ser objeto de graves abusos, si no se adoptan las suficientes medidas protectoras de la privacidad.
En el caso de las etiquetas de Facebook, por el momento, las autoridades de protección de datos europeas no se han pronunciado respecto al sometimiento de la compañía norteamericana, a la normativa comunitaria (Directiva 95/46/CE), lo que supone una incertidumbre jurídica y un problema de aplicabilidad, por cuanto que la imagen de una persona es considerada plenamente como dato de carácter personal.
En este sentido, recientemente, el Grupo de trabajo del Artículo 29 (grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea) en su Dictamen 02/2012 de Reconocimiento Facial en Servicio en línea y móviles, ha señalado los riesgos que entrañan este tipo de servicios para la privacidad, principalmente, en los supuestos de tratamientos de imágenes de forma ilegal, violaciones de la medidas de seguridad o falta de precisión en la identificación del sujeto.
Así, en dicho Dictamen se expone claramente como solución previa a la utilización de este servicio, la necesidad de que exista un consentimiento previo e informado de los usuarios para el tratamiento de las imágenes digitales en el sistema de reconocimiento facial.
A mayor abundamiento, señala el Dictamen que el consentimiento otorgado no puede ser derivado de una aceptación general de las condiciones del servicio, por lo que deberá ofrecerse a los usuarios la información específica sobre el funcionamiento del reconocimiento facial de manera clara, accesible e independiente.
Por tanto, antes de que un usuario registrado en Facebook suba una imagen a la aplicación, primero deberá ser claramente informado de que estas imágenes estarán sujetas a un sistema de reconocimiento facial, sin que haya posibilidad de no ver o evitar el mensaje informativo.
Además, el Dictamen añade que a los usuarios que ya estén registrados en el servicio de reconocimiento facial también se les deberá solicitar su consentimiento para que su plantilla de referencia de identificación facial sea registrada en la base de datos de identificación.
Respecto a los usuarios no registrados y usuarios registrados que no hayan dado su consentimiento al tratamiento de sus datos con esta finalidad, no se les podrá sugerir automáticamente una etiqueta a su nombre.
Sin embargo, en algunos casos, el responsable del fichero, en este caso Facebook, puede, de forma temporal, realizar algunos procesos de reconocimiento facial, precisamente, con el propósito de evaluar si un usuario ha dado su consentimiento o no como base jurídica para el tratamiento de sus datos. Los datos tratados, durante esta fase deberán ser utilizados con el único fin de verificar el consentimiento del usuario y, por lo tanto, deben ser eliminados inmediatamente después de su comprobación, en caso de que el usuario no esté en la base de datos de consentimientos otorgados.
Esto es así, debido a que sólo es posible distinguir entre los rostros de los usuarios registrados que tenían y no había dado su consentimiento antes de haber efectuado el reconocimiento facial. Sólo después de que la identificación haya tenido lugar (o la falta de identificación) el responsable del fichero será capaz de determinar si tienen o no el consentimiento apropiado para el procesamiento específico.
En cuanto a las medidas de seguridad, los prestadores de estos servicios deben asegurar y garantizar que las imágenes digitales de los usuarios y las plantillas de reconocimiento facial son utilizadas únicamente para la finalidad prevista, así como que adoptan las medidas adecuadas para garantizar la seguridad de las mismas. Así, Facebook debería implantar las herramientas que permitan a los usuarios controlar la visibilidad de sus imágenes por parte de terceros, para lo cual aún queda mucho camino por andar.
Como conclusión, podemos afirmar que el uso de tecnología de reconocimiento facial debe contar, con carácter previo al uso del servicio, con el consentimiento informado del afectado -incluso expreso en determinados casos-, y el prestador del servicio deberá tomar una serie de precauciones desde el punto de vista de la normativa sobre protección de datos y de protección de la intimidad y de la propia imagen, puesto que es el responsable de los datos.
En caso de no cumplir con los requisitos expuestos, esta nueva funcionalidad supondría un riesgo para los usuarios de Facebook, por cuanto que la protección de su privacidad no quedaría garantizada.