Cada nueva funcionalidad que lanza la red social por excelencia (con permiso de las demás) es inmediatamente examinada bajo la lupa de la privacidad. Desde hace unos meses Facebook nos “ayuda” a identificar biométricamente las personas que aparecen en nuestras fotografías, aunque recientemente ha anunciado que el usuario afectado podrá rechazar el etiquetado.
Antes de analizar las implicaciones de esta nueva herramienta de Facebook, en materia de privacidad, conviene precisar, aunque pueda resultar obvio, que los datos biométricos se consideran datos personales en la medida en que permiten la identificación de los individuos, si bien es cierto que la biometría no es infalible.
En síntesis, la recopilación de datos biométricos (imagen de las huellas digitales, del iris, etc.) se lleva a cabo en la fase de "inscripción" a través de un sensor que extrae rasgos específicos del usuario para elaborar una "plantilla" biométrica. Dicha plantilla es una reducción estructurada de una imagen biométrica que se almacena en un repositorio para su posterior comparación.
En palabras de la Agencia Española de Protección de datos (Informe 368/2006) son datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión.
En definitiva, aunque el procesamiento de los datos biométricos no revela nuevas características referentes al comportamiento de las personas sí permite, lógicamente, su identificación; por lo que el tratamiento de datos biométricos debe ajustarse a la normativa de protección de datos y, en especial, al principio de proporcionalidad.
El Grupo de Trabajo del Artículo 29, que reúne a las Autoridades Europeas de Protección de Datos, adoptó en 2003 un Documento de trabajo sobre biometría en procesos de identificación o autenticación de personas, y posteriormente dictámenes específicos (7/2004 y 3/2007) sobre elementos biométricos en visados y permisos de residencia.
Alertaba el Grupo en su Documento de 2003 que una utilización amplia y sin control de la biometría resultaba preocupante desde el punto de vista de la protección de los derechos y libertades fundamentales. Asimismo puso de manifiesto que si la sociedad fomenta el desarrollo de bases de datos biométricos para objetivos distintos a fines tradicionales como la investigación criminal, se puede aumentar la reutilización potencial de esos datos por parte de otros como elemento de comparación e investigación en el marco de sus propios fines, sin haber pretendido inicialmente ese objetivo.
Por su parte, el Consejo de Europa consideró en su Informe de Situación sobre la Aplicación de los Principios de la Convención 108 a la Recogida y Proceso de los Datos Biométricos que los principios de la Convención resultan plenamente aplicables y que la dignidad humana debe ser respetada durante la recogida y utilización de características del cuerpo humano.
Centrándonos en el hecho noticiable, debe indicarse que, aunque el uso de sistemas biométricos de reconocimiento facial en servicios en línea no sea una funcionalidad exclusiva de la compañía de Zuckerberg, la ingente cantidad de información, y enorme potencial de Facebook han colocado en el punto de mira el servicio: "Sugerirme para las etiquetas de las fotos de mis amigos". La utilidad es aparentemente sencilla: si eres usuario de la red social, el sistema escaneará las fotos que suban tus amigos y les sugerirá que te etiqueten en todas aquéllas imágenes donde seas detectado.
La autoridad alemana en materia de protección de datos, que lideró en su momento la batalla contra Google Street View, solicitó a Facebook que desactivara el servicio y eliminara los datos obtenidos. Por su parte, el Grupo de Trabajo del Artículo 29 anunció que investigaría las implicaciones en materia de privacidad del servicio, adelantando que el problema fundamental residía en que se encontraba activado por defecto. En este sentido, tal y como el propio Grupo ha señalado en su reciente Dictamen 15/2011 sobre la definición del Consentimiento (analizado en este Blog) el consentimiento inequívoco necesario para el tratamiento de datos de carácter personal no puede obtenerse a partir de mecanismos que otorguen el consentimiento de forma predeterminada.
Como suele argumentarse al hilo del lanzamiento de funcionalidades de este tipo, evidentemente pueden resultar útiles para el usuario, pero aunque el objetivo primordial de las redes sociales sea favorecer el intercambio de información, el individuo no debe perder en ningún momento el control de sus datos personales. Es decir, el usuario debe ser consciente en todo momento de cómo van a ser tratados sus datos y autorizar previamente dichos tratamientos, disponiendo de información clara y precisa que le permita tomar decisiones con las debidas garantías.
En los últimos días, Facebook ha anunciado que aumentará el control del usuario sobre los contenidos accesibles en su perfil, de forma que él mismo decida en cada momento quién puede ver cada una de sus publicaciones, lo cual ha sido calificado por expertos en privacidad y seguridad a nivel internacional, como un avance muy positivo. Respecto del etiquetado de fotografías, el sistema permitirá que el usuario afectado rechace la etiqueta.
Como conclusión, la mayoría de los cambios anunciados por Facebook van en la dirección correcta en la medida en que mejoran la accesibilidad y amplían las posibilidades del usuario en relación con la configuración de su privacidad, inclinándose hacia un modelo de "privacy by design". No obstante, además de clarificar las políticas de privacidad, es preciso que las compañías tecnológicas implementen mecanismos de opt-in en el lanzamiento de nuevos servicios, sobre todo cuando impliquen el tratamiento de datos personales de especial naturaleza tales como los biométricos, que se derivan de las características fisiológicas o comportamentales de una persona.