La Autoridad Italiana de Protección de Datos (GPDP) suspende el servicio de reconocimiento facial en el aeropuerto de Milán Linate

Logotipo ProvaDiVita
Reconocimiento facial

El despliegue de tecnologías biométricas-especialmente el reconocimiento facial- se ha acelerado en los sectores público y privado de todo el mundo. Los aeropuertos han sido uno de los principales adoptantes de estos sistemas, impulsados por las promesas de mejora de la seguridad, agilización del procesamiento de pasajeros y eficiencia operativa. Sin embargo, la rápida integración de estas tecnologías ha suscitado importantes preocupaciones jurídicas, éticas y técnicas en torno a la privacidad, la protección de datos, la equidad algorítmica y la transparencia.

Un hecho reciente destacable es la decisión de la Autoridad Italiana de Protección de Datos (Garantía de protección de datos personales(abreviado GPDP) para suspender el funcionamiento de la red de FaceBoarding. reconocimiento facial en las puertas automatizadas de control fronterizo del aeropuerto de Milán Linate. Este ensayo examina los antecedentes, la tecnología utilizada, la justificación y la base jurídica del GPDP, las implicaciones para las partes interesadas (incluidos los pasajeros, los operadores aeroportuarios, las compañías aéreas y los proveedores de tecnología) y el contexto más amplio de la gobernanza biométrica en Europa.

Antecedentes: FaceBoarding y control automatizado de fronteras

FaceBoarding es un proveedor de soluciones de verificación de identidad biométrica que utiliza el reconocimiento facial para autenticar a los viajeros en las puertas de control fronterizo automatizado (ABC). La tecnología compara una imagen en directo o un vídeo del rostro de un pasajero capturado en la puerta con una imagen de referencia almacenada -por lo general, de un pasaporte o una base de datos de identidad gubernamental- para verificar la identidad y permitir el paso sin intervención humana del agente de fronteras. Sus defensores sostienen que estos sistemas pueden acelerar los trámites, reducir las colas y mantener o mejorar la seguridad cotejando las identidades con listas de vigilancia o indicadores de riesgo.

El aeropuerto de Milán Linate, uno de los principales aeropuertos nacionales y regionales de Italia, implantó la solución de FaceBoarding para agilizar el flujo de pasajeros en los puestos fronterizos automatizados. El sistema debía permitir verificar biométricamente a los viajeros autorizados mientras pasaban por el control de pasaportes, mejorando ostensiblemente la experiencia de los pasajeros y el rendimiento operativo.

La decisión del GPDP: La suspensión y su fundamento

La Autoridad de Protección de Datos italiana emitió una orden para suspender el servicio de reconocimiento facial FaceBoarding en el aeropuerto de Milán Linate. La decisión del GPDP refleja la preocupación por el cumplimiento del marco italiano de protección de datos y del Reglamento General de Protección de Datos (RGPD) de la UE. Si bien los detalles específicos del caso y el razonamiento oficial son multifacéticos, la intervención de la GPDP se basa normalmente en varios puntos jurídicos y fácticos centrales que se invocan comúnmente cuando las autoridades examinan los sistemas biométricos:

  • Legalidad del tratamiento: En virtud del RGPD, los datos biométricos que identifican de manera única a una persona constituyen una categoría de "categorías especiales de datos personales" (datos sensibles). El tratamiento de estos datos requiere una base jurídica sólida y, a menudo, una autorización legal explícita. El GPDP debe estar convencido de que el aeropuerto y FaceBoarding tenían una base legal para recopilar y procesar datos biométricos para la verificación de la identidad.

  • Proporcionalidad y necesidad: El tratamiento de datos debe ser necesario y proporcionado al objetivo declarado. La Autoridad probablemente examinó si medios menos intrusivos podrían lograr los mismos objetivos (por ejemplo, controles manuales, verificación de identidad no biométrica) y si el enfoque biométrico era proporcionado dados los riesgos para la privacidad.

  • Transparencia y consentimiento informado: Las personas deben recibir información adecuada sobre el tratamiento de datos biométricos y sus derechos. El GPDP examina a menudo si los pasajeros han recibido información clara e inteligible y si el consentimiento obtenido se ha dado libremente y de forma específica, lo que es especialmente importante si la denegación impediría viajar al pasajero o le causaría molestias indebidas.

  • Minimización de datos y limitación del almacenamiento: El RGPD exige que los datos recopilados sean adecuados, pertinentes y limitados a lo estrictamente necesario, y que se conserven solo el tiempo necesario. El GPDP probablemente revisó los tipos y la cantidad de imágenes capturadas, durante cuánto tiempo se conservaron los datos, si se almacenaron plantillas o imágenes en bruto, y si las políticas de conservación estaban justificadas y se aplicaban.

  • Medidas de seguridad y protección de datos: La Autoridad examina si se han tomado las medidas técnicas y organizativas adecuadas para proteger los datos biométricos de accesos no autorizados, infracciones o usos indebidos. Esto incluye el cifrado, los controles de acceso, la transmisión segura y las salvaguardias contractuales entre las partes implicadas.

  • Derechos del interesado y vías de recurso: Deben existir mecanismos eficaces para que los pasajeros ejerzan sus derechos (acceso, rectificación, supresión, oposición) y obtengan una reparación significativa. El GPDP puede haber constatado que los procedimientos para habilitar tales derechos eran insuficientes o poco claros.

  • Evaluación de riesgos y DPIA: El RGPD exige una evaluación del impacto sobre la protección de datos (EIPD) para el tratamiento de alto riesgo, como la identificación biométrica a gran escala. El GPDP evaluaría si la DPIA se llevó a cabo correctamente, si se identificaron y mitigaron los riesgos y si se consultó a la autoridad de supervisión cuando los riesgos residuales seguían siendo elevados.

Aunque el GPDP suspendió el servicio en lugar de ordenar una prohibición permanente, la suspensión indica serias preocupaciones y la necesidad de medidas correctoras antes de que el tratamiento pueda reanudarse legalmente.

Contexto jurídico y normativo

Comprender la acción del GPDP exige situarla en el marco jurídico italiano y europeo más amplio.

  • GDPR: El GDPR de la Unión Europea establece el régimen jurídico principal para la protección de datos personales en todos los Estados miembros. Los datos biométricos utilizados para identificar de forma única a una persona se tratan como datos de categoría especial en virtud del artículo 9 y están sujetos a condiciones más estrictas. En general, el tratamiento de estos datos está prohibido a menos que existan garantías y bases jurídicas específicas (por ejemplo, consentimiento explícito, interés público sustancial en virtud de la legislación de la Unión o de los Estados miembros, o disposiciones específicas para la identificación y la seguridad).

  • Código italiano de protección de datos: La legislación nacional italiana complementa los requisitos del GDPR y contiene disposiciones relevantes para la seguridad pública, el control fronterizo y el procesamiento de datos biométricos y de identidad. Cuando las leyes nacionales crean bases jurídicas para el tratamiento biométrico en determinados contextos de interés público (por ejemplo, el control fronterizo en virtud de las leyes de migración y seguridad), la compatibilidad de dichas normas nacionales con los principios del RGPD sigue siendo fundamental.

  • Jurisprudencia y directrices del EEE: El Consejo Europeo de Protección de Datos (CEPD) y los tribunales nacionales emiten orientaciones y sentencias que afectan a los sistemas biométricos. En los últimos años se ha intensificado el escrutinio: algunas autoridades supervisoras europeas han iniciado investigaciones sobre los sistemas de reconocimiento facial de los aeropuertos; otras han exigido DPIA rigurosos o han impuesto limitaciones. Las decisiones de los tribunales de la UE también han reforzado las normas estrictas para el tratamiento de datos biométricos y han hecho hincapié en la necesidad, la proporcionalidad y las garantías sólidas.

  • Panorama de la vigilancia biométrica: La UE ha propuesto un marco regulador de la Inteligencia Artificial (Ley de IA) que distingue entre aplicaciones de IA de alto riesgo y prohibidas, con especial atención al reconocimiento facial para la identificación biométrica a distancia en espacios públicos. Aunque la Ley de IA se encuentra en una fase legislativa diferente, señala un cambio más amplio hacia una gobernanza más estricta de las tecnologías biométricas.

Cuestiones prácticas y consideraciones técnicas

Más allá de los fundamentos jurídicos, es probable que la suspensión refleje deficiencias o incertidumbres prácticas y técnicas. Entre las principales preocupaciones planteadas en casos similares figuran:

  • Precisión y sesgo: Los algoritmos de reconocimiento facial pueden mostrar una precisión variable entre grupos demográficos, con tasas documentadas más altas de falsas coincidencias o falsas no coincidencias en el caso de las mujeres, los adultos mayores y determinadas etnias. Esto puede dar lugar a denegaciones erróneas, controles adicionales o trato desigual.

  • Fluencia de funciones y usos secundarios: Sin controles estrictos, los datos biométricos recogidos para el control fronterizo podrían destinarse a otros usos (por ejemplo, aplicación de la ley, marketing), lo que plantearía importantes riesgos para la privacidad. Las autoridades de control exigen que se limiten los fines y se establezcan controles contractuales y técnicos para evitar usos indebidos.

  • Conservación de datos y arquitectura de almacenamiento: El hecho de que las imágenes se procesen localmente y se desechen de inmediato, se almacenen como plantillas o se transmitan a bases de datos centralizadas afecta a los perfiles de riesgo. El GPDP examinaría los periodos de conservación, si se almacenan imágenes en bruto y quién tiene acceso a ellas.

  • Procesamiento por terceros y subprocesadores: FaceBoarding, los operadores aeroportuarios, las compañías aéreas y los organismos gubernamentales pueden desempeñar un papel importante. Los acuerdos de tratamiento, las funciones del responsable y el encargado del tratamiento, la asignación de responsabilidades y las transferencias transfronterizas de datos deben cumplir las normas del RGPD.

  • Consentimiento frente a interés legítimo: En los aeropuertos, obtener el consentimiento libre puede ser problemático porque los viajeros pueden sentirse obligados a cumplirlo. Muchos operadores se basan en otros fundamentos jurídicos -como el cumplimiento de un contrato o el interés público-, pero tales fundamentos deben justificarse cuidadosamente, especialmente en el caso de los datos biométricos.

  • Transparencia operativa y señalización: Los avisos visibles, las opciones claras de exclusión y la información accesible contribuyen a cumplir las obligaciones de transparencia. El GPDP probablemente evaluó si se informaba adecuadamente a los pasajeros en los puntos de entrada, reserva y zonas de embarque.

Implicaciones para las partes interesadas

La suspensión del GPDP afecta a múltiples partes interesadas y tiene implicaciones más amplias para el uso de la biometría en el transporte y los espacios públicos.

  • Para los pasajeros: El efecto inmediato es que no se puede utilizar el procesamiento biométrico en las puertas suspendidas, protegiendo la privacidad biométrica de los viajeros hasta que se demuestre el cumplimiento. También puede suponer la vuelta a los controles manuales de pasaportes, con posibles repercusiones en los tiempos de espera.

  • Para operadores aeroportuarios y compañías aéreas: La suspensión pone de relieve los riesgos operativos y de cumplimiento inherentes a la implantación de sistemas biométricos. Es posible que los operadores tengan que invertir en prácticas de protección de datos más estrictas, reevaluar las condiciones contractuales y de contratación y considerar soluciones alternativas, garantizando al mismo tiempo la seguridad y la experiencia del viajero.

  • Para los proveedores de tecnología (por ejemplo, FaceBoarding): Los proveedores deben demostrar el cumplimiento mediante mejores salvaguardias técnicas, flujos de datos transparentes, una documentación más clara de las bases legales y DPIA sólidas. El incidente puede dar lugar a rediseños, certificaciones adicionales o cambios en las arquitecturas de tratamiento de datos.

  • Para reguladores y responsables políticos: La decisión subraya la necesidad de normas y orientaciones claras y armonizadas sobre las tecnologías biométricas. Los reguladores pueden aumentar el escrutinio de implantaciones similares en otros lugares y presionar para que se refuercen las normas del sector.

  • Por la confianza del público: las suspensiones de gran repercusión sensibilizan al público sobre los riesgos para la privacidad y pueden erosionar la confianza en los sistemas biométricos. Para restablecer la confianza son necesarias medidas correctoras transparentes y una gobernanza responsable.

Posibles medidas correctoras y camino hacia el cumplimiento

Para responder a las preocupaciones del GPDP y permitir la reanudación legal de las operaciones, las partes interesadas podrían tomar varias medidas concretas:

  • Realizar o actualizar una DPIA exhaustiva que documente plenamente los riesgos, identifique las mitigaciones y demuestre que cualquier riesgo residual es proporcionado y está justificado. Si persiste un riesgo residual elevado, consulte a la autoridad de control, tal como exige el RGPD.

  • Aclare y documente la base jurídica para el tratamiento de los datos biométricos. Si se basa en el consentimiento, asegúrese de que es explícito, se da libremente y es granular; si se basa en el interés público u otros fundamentos, asegúrese de que existe una autorización legal y una justificación adecuadas con arreglo a la legislación nacional.

  • Aplique una minimización estricta de los datos: procese sólo lo necesario (por ejemplo, plantillas efímeras en lugar de imágenes en bruto), limite la conservación al mínimo necesario y elimine los datos rápidamente tras la verificación.

  • Mejorar las medidas técnicas de seguridad: cifrado robusto, seudonimización, controles de acceso, registro de auditorías y arquitectura segura de transmisión/almacenamiento.

  • Reforzar la gobernanza y los contratos: acuerdos claros sobre tratamiento de datos, límites al subtratamiento y funciones y responsabilidades definidas entre operadores, proveedores de tecnología y autoridades públicas.

  • Proporcionar información clara a los pasajeros y mecanismos de exclusión voluntaria: señalización visible, comunicación previa al viaje y alternativas fáciles al tratamiento biométrico sin penalización.

  • Realizar pruebas independientes y auditorías de sesgo para demostrar la imparcialidad y precisión algorítmicas en poblaciones diversas, y publicar los resultados o resúmenes para aumentar la transparencia.

  • Establecer mecanismos de recurso y procesos claros para que los pasajeros ejerzan los derechos de los interesados.

Significado más amplio y lecciones aprendidas

La suspensión del GPDP en Milán Linate es emblemática de una recalibración más amplia en toda Europa respecto a las tecnologías biométricas, especialmente en aplicaciones sensibles como el control de fronteras. Se pueden extraer varias lecciones:

  • Las autoridades reguladoras harán cumplir las protecciones del RGPD para los datos biométricos y están dispuestas a intervenir cuando no se cumplan los requisitos legales.

  • Los despliegues en contextos públicos y muy transitados requieren una gobernanza anticipatoria: DPIA sólidas, participación de las partes interesadas, bases jurídicas claras y salvaguardias técnicas estrictas.

  • Los proveedores de tecnología y quienes la adoptan deben dar prioridad a la privacidad por diseño y por defecto, haciendo hincapié en la minimización, la transparencia y la responsabilidad desde el principio.

  • La aceptación pública depende de la confianza; la transparencia, la imparcialidad demostrable y las salvaguardias efectivas son esenciales para garantizar la licencia social de los sistemas biométricos.

  • Unas normas armonizadas y unos marcos jurídicos más claros a escala de la UE -o una legislación nacional explícita cuando esté permitido- podrían reducir la incertidumbre y mejorar el cumplimiento, garantizando al mismo tiempo la protección de los derechos fundamentales.

Conclusión

La suspensión del servicio de reconocimiento facial de FaceBoarding en el aeropuerto de Milán Linate por parte de la Autoridad Italiana de Protección de Datos pone de manifiesto la tensión existente entre la innovación tecnológica y la protección de los derechos fundamentales. Aunque la biometría ofrece claras ventajas para la eficiencia y la seguridad en las operaciones fronterizas, también plantea graves problemas de privacidad, equidad y gobernanza. La acción del GPDP refleja los estrictos requisitos del GDPR para el tratamiento de categorías especiales de datos y pone de relieve la necesidad de una justificación jurídica rigurosa, salvaguardias técnicas, transparencia y responsabilidad.

De cara al futuro, el éxito y la legalidad del despliegue del reconocimiento facial en los aeropuertos requerirá esfuerzos de colaboración entre los proveedores de tecnología, las autoridades aeroportuarias, las compañías aéreas, los reguladores y la sociedad civil para garantizar que los sistemas sean necesarios, proporcionados, no discriminatorios y respetuosos con los derechos de los viajeros. El caso de Milán Linate sirve como ejemplo de advertencia y como oportunidad: para perfeccionar las prácticas, reforzar las protecciones y desarrollar marcos de gobernanza que permitan una innovación útil al tiempo que se salvaguardan las libertades individuales.

Etiquetado ,