La CNIL conmina a una startup estadounidense a cesar el tratamiento ilegal de datos biométricos

La inquietud por la privacidad, unida al despliegue de novedosas tecnologías capaces de comprometerla, ha generado la proliferación de numerosas sanciones por parte de las autoridades competentes por infracción de la normativa de protección de datos.

En este sentido, la Autoridad de Protección de Datos Francesa (Commission National de l’informatique et des libertés, CNIL) ha emitido recientemente una decisión concerniente a una famosa startup estadounidense, en relación con su sistema de reconocimiento facial biométrico, que ha venido suscitando un especial interés por, al menos, dos razones: (i) los riesgos para la protección de datos surgidos de la implementación de sistemas de Inteligencia Artificial; y (ii) la extraterritorialidad de la aplicación del Reglamento General de Protección de Datos (RGPD).

La startup en cuestión se dedica a proporcionar tecnología puntera a las fuerzas del orden con el objetivo de investigar delitos para la mejora de la seguridad pública. Entre las herramientas tecnológicas ofrecidas por esta compañía, destaca un software de reconocimiento facial cuya base de datos, según la CNIL, podría estar conformada por 10.000 millones de fotografías y vídeos de ciudadanos europeos obtenidos de distintos sitios de Internet (p. ej., redes sociales).

En relación con este sistema, la CNIL determinó que se habían cometido dos infracciones del RGPD. Por una parte, la CNIL considera que se había vulnerado el art. 6 del RGPD al realizar tratamientos de datos biométricos sin una base jurídica. En este sentido, la CNIL indicó que el tratamiento de dichos datos personales no podría basarse en el interés legítimo de la compañía, dado que el tratamiento resulta “particularmente intrusivo”, en palabras de la CNIL. Por otra parte, la CNIL determinó que se habían infringido también los arts. 12, 15 y 17 del RGPD, ya que la startup había decidido limitar el derecho de acceso a la información recabada durante los doce meses anteriores a la fecha de la solicitud, así como la restricción del ejercicio de este derecho a dos veces al año, sin justificación ni motivación alguna.

En su decisión, la Autoridad Francesa de Protección de Datos no impone una sanción económica, pero ordena a la startup que, en el plazo de dos meses, cese en la recogida y uso de datos personales en territorio francés y que facilite de forma completa los ejercicios de derechos que le han sido solicitados por parte de los interesados.

En esta línea, la CNIL también recuerda que solo se procederá al cierre del expediente, si la startup cumple en el citado plazo de dos meses con las siguientes instrucciones:

> Cesar en el tratamiento de datos personales de ciudadanos franceses sin una base legal y, en particular, suprimir sus datos personales.

> Facilitar el ejercicio de derechos y, en concreto, responder de manera efectiva a las solicitudes de acceso ya realizadas.

> Justificar que se han cumplido todas las solicitudes mencionadas ante la CNIL.

En caso de no atender a las instrucciones de la autoridad francesa, la empresa podría enfrentarse a nuevos pronunciamientos, incluyendo la potencial imposición de una sanción económica.

La decisión de la CNIL llega después de que la autoridad de protección de datos de Reino Unido (la Information Commissioner’s Office, “ICO”) hiciese pública en noviembre la sanción provisional a la misma startup por un importe de 17 millones de libras y de que el Gobierno de Canadá anunciase que no volvería a hacer uso del software proporcionado por esta compañía.

Como podemos ver, las autoridades de protección de datos están tomándose muy en serio la privacidad de sus ciudadanos en el marco de la utilización de tecnologías de vanguardia, por lo que continuaremos atentos a futuras novedades en esta materia.