1

“El Auge del Reconocimiento Facial y los

nuevos desafíos en cuanto a Privacidad de

datos”

Ponce, Ramiro Alejandro

Carrera de Especialización en Derecho Informático

1er Cohorte Diciembre 2015

2

Prólogo:

El presente trabajo busca analizar las implicancias en el uso de tecnologías de reconocimiento

facial y como la misma se articula con el actual ordenamiento sobre privacidad, uso de la

imagen y la creación de bases de datos.

Se analizara la implicancia de esta tecnología en otros ordenamientos y tratar de ver como el

ordenamiento actual puede no cubrir todos los usos de la imagen y los datos que se pueden

extraer de los mismos. Nos centraremos en el proceso que implica esta tecnología, que

consiste en analizar una gran cantidad de fotos para obtener un único patrón de identificación

de un individuo, pudiendo posteriormente reconocerlo en varias fotos incluso desde diferentes

ángulos o cuando su rostro se encuentre parcialmente cubierto.

3

1. Introducción

La base de este trabajo y de los artículos utilizados para su redacción es el impacto del avance

en el desarrollo del software de reconocimiento facial; el impacto y las implicancias de

aplicarlo a una base de datos de contenido audiovisual como así también en redes sociales sin

el debido consentimiento de los usuarios de esas bases y redes. A su vez demostrar que el

ordenamiento no toma en cuenta determinados aspectos tecnológicos de las actúales

tecnologías, facilitando que el mismo no se aplique a determinados casos.

Actualmente el auge de las redes sociales, y el uso de celulares con mas interacción generan

un flujo de datos, algunos biométricos, que permiten individualizar y “conectar” con

muchísima exactitud y detalles al “usuario virtual” con la persona detrás del primero.

Tanto Facebook, como Instagram cuentan con una plataforma para recabar innumerables

datos de un determinado usuario y sin agotar todos ellos, enumeramos los siguientes:

- Datos de ubicación (las llamadas “geotags”) que aunque subamos fotos y Facebook no lo

muestre, el sistema guarda la latitud y longitud del lugar donde se tomó la foto (siempre y

cuando no hayamos desactivado la función en la cámara que estemos utilizando, y cuando

dicha funcionalidad se encuentre disponible).

Los “me gusta” y las paginas que visitamos, la forma en que otros nos “etiquetan” incluso las

localizaciones y direcciones IP desde donde iniciamos sesión, todo constituye un cumulo de

datos que se guardan y almacenan.

Todos los datos, algunos sensibles, otros personales y el tratamiento que se les aplica

permiten con relativa simpleza trazar todo un perfil sobre la identidad del usuario, sus

creencias, preferencias y lugares que frecuenta, su núcleo de amigos e incluso familiares

cercanos..

Toda esta información que muchas veces se recolecta en forma silenciosa y sin ningún tipo de

consentimiento por parte del usuario carece de control y puede ser incluso compartida y

utilizada para crear “plantillas o templates” que se pueden aplicar no solo en fotos, sino en

videos en tiempo real para video vigilancia y control.

4

2. Explicación técnica

El reconocimiento facial implica la aplicación de un software, técnicas y algoritmos que

permiten extraer una serie de patrones del rostro de individuos ya sea desde fotos, videos

e incluso tomas en tiempo real. La técnica consiste en capturar una imagen, delimitar el

área referente al rostro, normalizar las características de la fuente (video o fotografía),

aplicar un algoritmo o conjunto prescrito de instrucciones1 o reglas bien definidas,

ordenadas y finitas a fin de generar un conjunto de patrones o “huella” única, que

perteneciente a ese individuo en particular, permita la sucesiva identificación del mismo

en otras fuentes como videos u otras fotos. Usualmente el sistema toma varios ejemplos

de un mismo individuo para, como vemos debajo, pueda reconocerlo incluso cuando no

mira de frente o su rostro se encuentre parcialmente cubierto.

22

1 http://es.wikipedia.org/wiki/Algoritmo

2 https://es.wikipedia.org/wiki/Sistema_de_reconocimiento_facial

5

Actualmente los usuarios de la red social más importante del planeta, Facebook, suben

aproximadamente un total de 350 millones de fotos cada día, con poco conocimiento

de que Facebook guarda y mantiene un gran número de datos extraídos de la

información que los mismos usuarios proveen.

Durante el 2010 y casi sin demasiado anuncio en los Estados Unidos, se presentó una

nueva funcionalidad dentro de la plataforma, el “Suggested tag” o sugerencias de

etiquetado; esto es Facebook reconociendo rostros en las fotos de los usuarios a través

de un software de reconocimiento facial.

3

3 https://www.facebook.com/help/122175507864081?helpref=uf_permalink

6

A través de este cambio en las políticas de privacidad, el sistema reconoce que estuvo

“entrenando” y capturando datos biométricos de las fotos que son “subidas” a la red, sin

siquiera el consentimiento de los usuarios de cómo se utilizan tales datos.

En 2011 tres investigadores de la Universidad de Carnegie Mellon presentaron en Las

Vegas en la conferencia “Black Hat” un paper4 sobre la realización de tres simples

experimentos. El primero consistía en, utilizando software disponible comercialmente y

sin realizarle modificaciones y/o adaptaciones, identificar fotos de un sitio de citas online

y tratar de “conectarlas” el perfil de Facebook que le correspondía (utilizando la foto de

perfil que se obtiene incluso sin iniciar sesión en Facebook). El segundo consistía en

tomar fotos de estudiantes de un determinado colegio a través de una webcam y lograr dar

con sus perfiles online. Finalmente el tercero fue más allá, tratando de identificar datos

más sensibles de las personas, como el número de seguro social.

Las conclusiones a las que arribaron es que es posible comenzar con un rostro

totalmente anónimo y terminar con el nombre, perfil e información mucho más sensible

sobre una persona determinada en un proceso de “acumulación” de datos

Entonces, podemos determinar unos de los principales inconvenientes que acarrea el uso

de la tecnología del reconocimiento facial y como determina la primera problemática

detectada:

Podemos partir de un rostro totalmente anónimo y a partir de información pública

disponible libremente en la red, generar un patrón, y a través del mismo arribar a

la identidad de una persona, su grupo de amigos e incluso a datos como su DNI y

antecedentes laborales.

4 https://www.blackhat.com/docs/webcast/acquisti-face-BH-Webinar-2012-out.pdf

7

3. Aproximación a la temática de privacidad de datos

Actualmente se produce una disociación entre la información brindada y el control por

parte del usuario, dado que, y sin formar una base de datos per se, se extraen muchísimos

datos del material y el perfil existente.

Incluso los conceptos tradicionales de privacidad se ven puestos en jaque al pensar en un

“perfil online”, tanto que la mayoría de los usuarios no aplica el mismo carácter de

“privado” sobre la foto que sube a su red social favorita como el que aplica al mostrar

una fotografía tomada en papel y compartida físicamente con sus amigos.

Entonces entendiendo esto en nuestro marco nacional, la acumulación de estos datos y

de nuestras huellas virtuales, configuran una base de datos en los términos de la Ley

Nacional de Protección de los Datos Personales (Ley 25326)5. Pero específicamente el

reconocimiento facial permitiría una especie de “ingeniería inversa” de la disociación

de datos, permitiendo unir mediante la interconexión de información pública, fuera de

nuestro control, identidades e información sensible.

Así podríamos partir de la base de un conjunto de datos no relacionados y

desorganizados; incluso cuando a esos datos se le hayan aplicado técnicas de

disociación de datos (Artículo 2, Ley 25326).

Como vemos, el problema puede ser atacado desde varias aristas, incluso desde el artículo

5° de la Ley, referido al consentimiento. ¿Es un consentimiento debidamente informado?

¿El usuario entiende estrictamente todo lo que significa e implica el reconocimiento facial?

Incluso entendiendo que el hecho de restringir el acceso a esas fotos, o el hecho efectivo de

borrarla no necesariamente implica que los datos biométricos oportunamente extraídos

también sean eliminados.

La chance de que todas nuestras fotos sean “escaneadas” o utilizadas para “entrenar” el

software de reconocimiento sin importar el nivel de seguridad y/o privacidad que hayamos

configurado en nuestro perfil antes de siquiera prestar consentimiento es muy alta.

Entonces, con un simple ejemplo se puede ilustrar como se pone en juego el tradicional

concepto de privacidad; cuando caminamos por la calle, mostrando nuestro rostro en

5 http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/texact.htm

8

público, no esperamos que alguien nos observe con unos binoculares esperando obtener

toda la información posible resultado de la observación. Debido al auge tecnológico y el

avance en sensores fotográficos, una sola “exposición” de apenas unos segundos en una

calle, revela muchísima información en el posterior proceso de análisis.

El mencionado Artículo 5 de la Ley 25326 habla de que “No será necesario el

consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público

irrestricto”

Se puede acceder a ciertos perfiles y fotos de perfil en Facebook sin siquiera tener un

usuario o teniéndolo sin siquiera iniciar sesión, entonces obteniendo esas fotos y siendo de

acceso público, ¿la extracción de datos biométricos que carácter guardaría? Incluso

aparecemos en fotos que no hemos tomado, de gente que no conocemos, y esas fotos son

subidas sin ni siquiera nuestro conocimiento.

Vamos entonces delineando la segunda problemática que enfrentamos, el consentimiento

para la captación de datos no es necesario de acuerdo a las condiciones establecidas en la

Ley, y poniendo en juego el Art. 53 del Código Civil y Comercial, podríamos decir que en

determinados casos no necesitamos ningún consentimiento para la captación y

posterior procesamiento de imágenes a fin de obtener el patrón digital que nos permita

identificar a esa persona y ulteriormente arribar de un rostro inicialmente desconocido a

una persona perfectamente individualizable.

Ahora nos resta arribar al ordenamiento existente en cuanto a protección y legislación

existente en materia de reconocimiento facial

4. Derecho Comparado, Estados Unidos.

Dentro de los Estados Unidos de Norteamérica, tenemos dos marcos legales que fueron

utilizados para regular el reconocimiento facial en Internet, uno es la sección 5 de la Ley de

la Comisión Federal de Comercio sobre “actos engañosos o desleales que afecten al

comercio”6

6 https://www.gpo.gov/fdsys/granule/USCODE-2010-title15/USCODE-2010-title15-chap2-subchapI-sec45

9

En Junio 10 del 2011, el Centro de Información para la Privacidad Electrónica (“EPIC”)

reclamó ante la Comisión Federal de Comercio (“FTC”) una investigación sobre la

aplicación del reconocimiento facial que aplicaba Facebook7, bajo el argumento de que los

términos de uso y condiciones de Facebook generaban la expectativa de que los usuarios

iban a mantener el control del material fotográfico que ellos subieran. No obstante

Facebook posteriormente reconoció que utilizo las fotos para entrenar el sistema sin pedir

consentimiento a los usuarios.

8

El primer problema que detectamos es que al no ser una normativa específica carece de

especificidad en cuanto a la terminología

La segunda normativa utilizada es el Acta de Privacidad de Información Biométrica de

Illinois9, norma mas especifica que habla ya de datos “biométricos”.

Detectando que cada vez mas compañías se instalaban en Chicago y probaban nuevas

tecnologías, El Estado de Illinois decidió a través de este Acta requerir a las compañías

tecnológicas que recaben información biométrica, el explicito consentimiento de los

individuos de los cuales se colectaba información, como también la obligación de que

informen el propósito por el cual colectan información y el periodo de tiempo en el cual la

información iba a ser captada. Además, establece la obligación por parte de la compañía

recabadora de información de no compartir y/o distribuir la información sin un previo

consentimiento individual de cada uno de los titulares de esa información.

Como podemos apreciar, en este caso el Acta en particular es mas especifica que las leyes

anteriores, directamente refiriendo al concepto de dato biométrico y de este modo

capturando todas las tecnologías que se pueden aplicar para recabar información, como

7 https://epic.org/privacy/facebook/EPIC_FB_FR_FTC_Complaint_06_10_11.pdf

8 https://www.facebook.com/help/122175507864081

9 http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004&ChapterID=57

10

actualmente se realiza a través del reconocimiento facial y con la más reciente que es la

información dactilar.

El 5 de Mayo de 2016 la Corte del Norte del Distrito de California determinó que Facebook

enfrente una acción de clase basada en el Acta de Privacidad de Información Biométrica de

Illinois10

. El caso fue transferido a California ya que Facebook establece en sus términos y

condiciones que todos los reclamos judiciales se presenten en ese Estado. Aunque el Acta

rige en Illinois, el reclamo de rechazo por parte de Facebook fue desestimado por la Corte

dado que el Acta protege la información biométrica y que rechazarlo implicaría rechazar la

ley del estado de Illinois11

.

Facebook también argumentó que no recaban datos biométricos “per se”, sino que medían

la distancia entre ojos y otros rasgos de las personas que aparecían en fotos y que esto no

constituía un dato biométrico como las huellas dactilares o el patrón del iris del globo

ocular. Sin expedirse sobre este último punto la Corte finalizo que es reclamo es totalmente

viable.

En la Unión Europea, Facebook también encontró inconvenientes debido al “auto

etiquetado”,

En el año 2012, el Grupo de trabajo del Artículo 29, de la Unión Europea, creado a

partir de la directiva 95/46/CE o directiva de protección de datos, emitió el Dictamen

02/201212 sobre reconocimiento facial, en síntesis sugiriendo ciertas medidas:

La implementación de herramientas efectivas para que cada usuario pueda

controlar el acceso a sus fotos.

informar previamente al usuario del potencial uso de sus fotos para reconocimiento

facial.

Facilitar técnicamente que el usuario pueda excluir sus fotos de este proceso.

Eliminación del sistema de “auto etiquetado” a fin de controlar el flujo de datos

10

https://cdn.arstechnica.net/wp-content/uploads/2016/05/Biometric-Ruling.pdf 11

http://arstechnica.com/tech-policy/2016/05/illinois-residents-can-sue-facebook-for-photo-tagging-judge-says/ 12

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp192_en.pdf

11

En el 2011 la agencia de protección de datos de Hamburgo aplicando el Acta de Protección

de Datos Federales10, accionó contra Facebook Alemania, y en consonancia con la

Directiva 95/46/CE, estimó que el reconocimiento facial que se aplicaba a las fotos era

ilegal, y que no habían solicitado debido consentimiento a los usuarios sobre el uso de las

fotos.

Facebook acordó desactivar el servicio de “sugerencias de etiquetados” en toda Europa.

Como vemos, esta nueva innovación debe ser controlada y legislada desde varios puntos,

y se debe contar con una explicación detallada de los fines a los que se usaran nuestras

fotos y cualquier otro material y la opción explicita de poder excluir el material del

tratamiento informático de reconocimiento a fin de cumplimentar con el requisito de un

debido consentimiento informado.

Para resumir y dando una conclusión luego de la explicación técnica y de ver las dificultades

para la regulación de esta nueva tecnología, podemos decir que esta nueva problemática

encierra, y como mencionamos anteriormente, varias aristas

La naturaleza del consentimiento, en el caso de fotos nuestras, cuya necesidad es clara

cuando se trata de contenido propio, de forma explícita y brindando información sobre

la naturaleza de la recopilación, la duración de la misma, esto es, propósito y duración

de la captación de datos, pero, ¿qué ocurre con fotos que nosotros no tomamos y que

incluso se encuentran libremente en cualquier buscador?, las fotos en las que nos

etiquetan nuestros amigos y conocidos. Aquí vemos que las reglas tienen que ser

redefinidas y especificadas

Desarrollo del concepto de dato biométrico, ya que como vimos en el caso de

Facebook, el argumento de que no guarda un registro, como un escaneo retinal, o en

el caso especifico del Acta de Privacidad de Información Biométrica de Illinois

cuando habla de “geometría facial”. Facebook alegó que solo “toma las distancias” de

los ojos de las fotos de los usuarios. Es evidente que se necesita una especificidad en

el concepto de captura de dato biométrico para que pueda abarcar a todos los avances

y técnicas para generar el patrón de identificación facial.

Una implementación eficaz, que involucre tanto a los usuarios, como al Estado, y las

compañías responsables de las redes sociales, y en este caso se podría implementar

12

algún protocolo o formato de datos para que el usuario tenga exclusivo dominio sobre

su contenido, pudiendo migrar hacia otra plataforma o llegado el caso dar de baja su

cuenta, y podes “descargar” todo su perfil.

5. Derecho Argentino

Vamos a enfocarnos en la temática del reconocimiento facial abordando como punto

de partido lo que supone la imagen misma.

El sustrato necesario para aplicar las técnicas de reconocimiento facial implicaría si o

si partir de la imagen de un sujeto.

Vamos a referirnos primeramente al derecho a la imagen para luego poder afinar un

poco la temática a fin de determinar y delimitar el ámbito de protección del sujeto

frente al avance de la tecnología.

ARTICULO 53.-Derecho a la imagen. Para captar o reproducir la imagen o la voz de

una persona, de cualquier modo que se haga, es necesario su consentimiento, excepto

en los siguientes casos:

a) que la persona participe en actos públicos;

b) que exista un interés científico, cultural o educacional prioritario, y se tomen las

precauciones suficientes para evitar un daño innecesario;

c) que se trate del ejercicio regular del derecho de informar sobre acontecimientos

de interés general.

En caso de personas fallecidas pueden prestar el consentimiento sus herederos o el

designado por el causante en una disposición de última voluntad. Si hay desacuerdo

entre herederos de un mismo grado, resuelve el juez. Pasados veinte años desde la

muerte, la reproducción no ofensiva es libre.

13

Este articulo utiliza como base la Ley 1172913

, pero la moderniza al reemplazar en el

articulo 53 la antigua noción de “retrato fotográfico” hablando de captación y

reproducción.

Al hacer esto, el consentimiento se requeriría desde el mismo momento de la

captación. También agrega otra situación en la cual no sería necesario requerirlo, “el

ejercicio regular del derecho a informar”, protegiendo a la prensa dispensando en

estas ocasiones de la necesidad del consentimiento.

A partir de este primer análisis de la normativa en cuestión, podemos decir sobre “la

captación y/o posterior reproducción de la imagen” que algunos sistemas prescinden

de la toma de imágenes y se basan exclusivamente en la medición de parámetros como

la forma del rostro o incluso detectando emociones.

¿Que pasaría en el caso de actos públicos? Se podrían generar miles de esquemas de

datos, como un identificador único del individuo, no en imagen sino en un algoritmo.

Tenemos algunos ejemplos de cómo los centros de compras utilizan la información

que capturan sus circuitos cerrados de video vigilancia para generar análisis de hábitos

y para saber incluso la respuesta emocional de las personas14

.

¿Y que pasaría en el caso de redes sociales? Si vemos los términos y condiciones de

Facebook, vamos a ver qué otorgamos una licencia sobre el contenido que subimos a

la red, incluso del material que alguien suba de nosotros, aunque hayamos borrado

nuestra cuenta

“Eres el propietario de todo el contenido y la información que publicas en Facebook

y puedes controlar cómo se comparte a través de la configuración de la privacidad y

de las aplicaciones. Asimismo:

1. En el caso de contenido protegido por derechos de propiedad intelectual,

como fotos y videos ("contenido de PI"), nos concedes específicamente el siguiente

permiso, de acuerdo con la configuración de la privacidad y de las aplicaciones: nos

13

http://servicios.infoleg.gob.ar/infolegInternet/anexos/40000-44999/42755/texact.htm

14

http://emovu.com/e/technology/

https://www.youtube.com/watch?v=XOix5rt-Ioo

http://eyesee-research.com/

http://www.cbc.ca/news/technology/facial-recognition-stores-1.3487754

14

concedes una licencia no exclusiva, transferible, con derechos de sublicencia, libre

de regalías y aplicable en todo el mundo para utilizar cualquier contenido de PI que

publiques en Facebook o en conexión con Facebook ("licencia de PI"). Esta

licencia de PI finaliza cuando eliminas tu contenido de PI o tu cuenta, salvo si el

contenido se compartió con terceros y estos no lo eliminaron.

2. Cuando eliminas contenido de PI, este se borra de forma similar a cuando

vacías la papelera de reciclaje de tu computadora. No obstante, entiendes que es

posible que el contenido eliminado permanezca en copias de seguridad durante un

plazo de tiempo razonable (si bien no estará disponible para terceros)”15

.

Como vimos en el capitulo anterior, incluso el argumento de que Facebook no

utilizaba imágenes sino generaba “solo” patrones de medidas faciales (como la

distancia entre ambos ojos) sería suficiente para evitar el consentimiento requerido por

el artículo 53 del actual Código Civil.

6. Ley de datos personales 25.326

Pasemos a ver el problema desde la órbita de la Ley de Datos Personales 25.326 y

también de la situación legal de las cámaras de video vigilancia.

La citada Ley N° 25.326 define en su artículo 2° a los datos personales como

información de cualquier tipo referida a personas físicas o de existencia ideal

determinadas o determinables.

Las bases de datos como “conjunto organizado de datos personales que sean objeto

de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad

de su formación, almacenamiento, organización o acceso”

Por ende ya estaríamos en condiciones de afirmar que una imagen constituiría un dato

de carácter personal en tanto que una persona pueda ser determinada o determinable.

Y que una imagen con formato digital permite su tratamiento a través de sistemas

informáticos y conformar un sistema organizado de fácil consulta.

15

https://www.facebook.com/terms.php

15

Podríamos arriesgar a decir que un conjunto organizado de fotos y videos constituiría

una base de datos de acuerdo a la Ley 25.326 dado que sería posible la identificación

de personas.

Ya bajo esta orbita entrarían a jugar nuevos requisitos al momento de constituir una

base de datos de imágenes y requisitos específicos en cuanto a los datos a recabar

Se exige que las bases y/o archivos de datos se inscriban en virtud de la citada Ley,

además de determinar que las bases no podrán tener finalidades contrarias a la Ley o a

la moral pública16

(artículo 3°, Ley 25.326).

A su vez el artículo 4° establece una serie de condiciones que deben cumplir los datos

que se recopilen en la respectiva base:

Ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y

finalidad para los que se hubieren obtenido.

La recolección de datos no puede hacerse por medios desleales, fraudulentos o

en forma contraria a las disposiciones de la Ley.

Los datos objeto de tratamiento no pueden ser utilizados para finalidades

distintas o incompatibles con aquellas que motivaron su obtención.

Deben ser exactos y actualizarse en el caso de que ello fuere necesario.

Los datos total o parcialmente inexactos, o que sean incompletos, deben ser

suprimidos y sustituidos, o en su caso completados, por el responsable del

archivo o base de datos cuando se tenga conocimiento de la inexactitud o

carácter incompleto de la información de que se trate, sin perjuicio de los

derechos de actualización, rectificación y sustitución del titular establecidos en

la Ley.

Los datos deben ser almacenados de modo que permitan el ejercicio del

derecho de acceso de su titular.

Los datos deben ser destruidos cuando hayan dejado de ser necesarios o

pertinentes a los fines para los cuales hubiesen sido recolectados

Ya en este artículo podemos encontrar ciertas cuestiones que podríamos obviar para

permitirnos recabar información biométrica a través del reconocimiento facial.

16

http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/texact.htm

16

¿Cómo determinamos la finalidad? Si fuésemos una compañía con un motor de búsqueda

automático, podríamos decir que nuestro nuevo sistema de inteligencia artificial aplicado al

motor de búsqueda necesita ser “entrenado” para que pueda reconocer ropa, objetos, señas e

incluso emociones en una foto. Podríamos decir que este nuevo sistema, basado en redes

neuronales17

propias necesitan “aprender” recabando información de fotos e información

pública, que sean de una antigüedad no menor a 3 años para evitar o minimizar cualquier

riesgo, que se van a almacenar solo para ese sistema y el listado del material va a poder ser

consultado libremente a través de una página web que va a mostrar el resultado del análisis en

el momento y que al momento de alcanzar un 99% de exactitud en los objetos de la muestra,

se procederá a la destrucción de todo el material de entrenamiento.

Google y la mayoría de las compañías ya lo hacen, Google a través de su solución basada en

la nube “Cloud Vision”18

17

https://es.wikipedia.org/wiki/Red_neuronal_artificial 18

https://cloud.google.com/vision/

17

Esta foto fue tomada mientras redactaba la presente, como pueden ver el sistema automáticamente aplicó reconocimiento

óptico de caracteres para saber donde había frases y palabras

Parecería que podríamos incluso evitar el consentimiento requerido en el artículo 53, ya que

nuestro objetivo es estrictamente científico y es lograr que nuestra nueva red neuronal

corporativa pueda reconocer objetos, por lo que solo vamos a utilizar información de acceso

público.

¿Ahora bien, que ocurriría con el consentimiento? Podrimos evitarlo si nuestro material

proviene de capturas en actos públicos.

Pero vamos a ser más específicos en el tema y mencionaremos el artículo 5 de la ley 25.326

ARTÍCULO 5° — (Consentimiento).19

1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado

su consentimiento libre, expreso e informado, el que deberá constar por escrito, o

por otro medio que permita se le equipare, de acuerdo a las circunstancias.

El referido consentimiento prestado con otras declaraciones, deberá figurar en forma

expresa y destacada, previa notificación al requerido de datos, de la información

descrita en el artículo 6° de la presente ley.

2. No será necesario el consentimiento cuando:

a) Los datos se obtengan de fuentes de acceso público irrestricto;

19

http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm

18

b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en

virtud de una obligación legal;

c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de

identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y

domicilio;

d) Deriven de una relación contractual, científica o profesional del titular de los

datos, y resulten necesarios para su desarrollo o cumplimiento;

e) Se trate de las operaciones que realicen las entidades financieras y de las

informaciones que reciban de sus clientes conforme las disposiciones del artículo 39

de la Ley 21.526.

Siguiendo nuestro ejemplo tenemos acceso a material publico irrestricto y si incluso queremos

perfeccionar el alcance de nuestra base de datos, nada nos impide acceder a listados de DNI,

que junto al uso del material público y de acceso irrestricto de redes profesionales como

Linkedin, podríamos recabar información de muchísimas personas , fotos, datos laborales,

celular, mail.

En el caso de Facebook donde el autotagging o auto etiquetado no fue controvertido, se sigue

aplicando en forma automática, al menos en nuestro País.

Incluso y de acuerdo a lo anteriormente citado, cedemos los derechos de nuestro material que

subimos a la red, específicamente en los términos y condiciones que no leemos y aceptamos

ciegamente al abrir nuestra cuenta en la citada red social.

Como conclusión podríamos mencionar que de acuerdo a la forma en que estructuramos

nuestro sistema, y con fines “científicos” de acuerdo al artículo 53 y cuidando el origen de

estos datos, esto es observando el artículo 4 de la Ley 25.326, datos de acceso público,

podríamos instrumentar la aplicación de un sistema de reconocimiento facial, identificando a

un sinnúmero de personas, pudiendo averiguar una gran cantidad de datos y arribar a aquellos

más sensibles, en forma más o menos inmediata dependiendo de la capacidad de operaciones

por segundo que nuestra plataforma tecnológica nos permita. No requeriríamos de

consentimiento, y con el debido hardware esta operación llevaría incluso menos tiempo del

que insumiría inscribir nuestra base de datos.

19

7. Régimen de las videocámaras

Por último nos faltaría evaluar el régimen de las cámaras de video vigilancia.

El 27 de febrero de 2015 se publicó en el Boletín Oficial la Disposición N° 10/2015 (en

adelante, la “Disposición”) que reglamenta el uso de las cámaras de video vigilancia en lo

referido al tratamiento de datos personales obtenidos mediante el uso de estos dispositivos.

La Disposición establece que la recolección de imágenes digitales de las personas a través de

cámaras de seguridad debe ser consentida previamente por el titular de los datos, es decir, por

el retratado, con excepción de los siguientes supuestos:

cuando la grabación de las imágenes la realice el Estado en el ejercicio de sus

funciones;

cuando los datos se recolecten dentro de un predio de uso propio y/o perímetro

sin invadir el espacio de uso público o de terceros, salvo que ello sea inevitable; en

ese caso, se deberá restringir al mínimo necesario la captación de imágenes.

El cumplimiento del requisito de información previa al titular del dato podrá lograrse a través

de carteles20

que en forma clara indiquen al público la existencia de dichos dispositivos, los

fines de la captación de las imágenes y el responsable del tratamiento con su domicilio y datos

de contacto para el correcto ejercicio de los derechos por parte del titular del dato.

Siempre y cuando la recolección de las imágenes personales no implique una intromisión

desproporcionada en su privacidad, no será necesario requerir el consentimiento previo del

titular del dato en los siguientes casos:

los datos se recolecten con motivo de la realización de un evento privado (se

realice o no en espacio público) en el que la recolección de los datos sea efectuada

por parte del organizador o responsable del evento.

la recolección de los datos la realice el Estado en el ejercicio de sus funciones,

siendo en principio suficiente notificación de los requisitos del artículo 6° de la Ley

N° 25.326 su publicación en el Boletín Oficial (conforme artículo 22 de la Ley N°

20

http://www.jus.gov.ar/media/2821693/videovigilancia_ley25326.doc

20

25.326); sin perjuicio de ello, en las oficinas y/o establecimientos públicos deberá

hacerse saber dicha recolección conforme lo dispuesto en el segundo párrafo del

presente artículo; o

los datos se recolecten dentro de un predio de uso propio (por ejemplo: ser

propiedad privada, alquilado, concesión pública, etc.) y/o su perímetro sin invadir

el espacio de uso público o de terceros, salvo en aquello que resulte una consecuencia

inevitable, debiendo restringirlo al mínimo necesario y previendo mecanismos

razonables para que el público y/o los terceros se informen de una eventual

recolección de su información personal en tales circunstancias.

Las imágenes no podrán ser utilizadas para fines distintos o incompatibles a los que

motivaron la captación. Por su parte, las imágenes obtenidas deben relacionarse estrictamente

con los fines perseguidos evitando, en la medida de lo posible, la captación de detalles que no

sean relevantes. Al respecto, se debe evitar cualquier afectación al derecho a la privacidad en

el uso de estos dispositivos y no deben ser instalados en lugares inapropiados.

Como vemos en este caso la norma es aun más laxa, mientras el artículo 53 del Código Civil

menciona que no es necesario el consentimiento para captar la imagen cuando la persona

participa en actos públicos, la disposición va mas allá hablando de la captación en un ámbito

de uso propio, incluyendo propiedad privada y/o concesión publica. Debiendo restringir esa

toma de datos a lo “relevante” y “mínimo necesario” teniendo en cuenta la finalidad.

Con el desarrollo de cámaras cada vez más sensibles, que simplemente requieren de una

mínima exposición de tiempo se puede obtener muchísima información en muy corto tiempo.

Por ejemplo, ya existen tomas de ciudades en 320 giga pixeles que capturan una ciudad con

extremo detalle21

.

21

http://www.dailymail.co.uk/sciencetech/article-2282054/320-gigapixel-interactive-picture-London-lets-20-

MILES-zoom-people-street.html

21

8. Problemáticas detectadas

Como fuimos mencionando en cada capítulo y con el solo objetivo de simplemente resumirlos

en un solo lugar, los vamos a enumerar uno a uno.

1- Es posible actualmente partir de una foto totalmente anónima identificar a

quien/quienes aparecen y en base a eso recabar información sensible

2- En determinados casos, nuestro actual Código Civil no exige que se requiera el

consentimiento, dejando abierta la posibilidad de recabar datos biométricos del

material visual que se capture.

3- Incluso en países más desarrollados a nivel tecnológico, el ordenamiento no es

consistente frente al concepto de “dato biométrico” y específicamente el

concepto en cuestión de “reconocimiento facial”.

4- Las compañías usualmente relacionadas al uso de esta tecnología detallan

diferentes técnicas de adquisición de datos e imágenes de acuerdo a la región

en la que se encuentren, aprovechando la falta de un concepto general de lo

que implica el reconocimiento. Como vimos en algunas regiones se admite el

procesamiento de imágenes y en otras simplemente a tomar “medidas” como la

distancia entre pupilas, incluso hay diferentes métodos tecnológicos para

generar el patrón de reconocimiento.

5- Naturaleza del consentimiento en material fotográfico que es subido por

nosotros, y más preocupante es el caso de imágenes que no subimos a la red y

que quedan incluso cuando borramos nuestra cuenta de usuario. ¿Qué ocurre

con el material de acceso público que los buscadores indexan?

6- Falta de definición en cuanto a la limitación para aplicar técnicas de post

procesado a las imágenes que hayamos otorgado sin o con nuestro

consentimiento, por ejemplo a aquellas que subimos voluntariamente a las

redes sociales.

7- En el caso de la video vigilancia, la disposición 10/2015 es aun más laxa, al

hablar de finalidad, dado que incluso informando por cuestiones “científicas”

(de acuerdo al Artículo 53 del Código Civil), no detalla cuales pueden ser las

mismas, y como vimos, para cuestiones meramente técnicas como entrenar un

sistema para la generación de “huellas” digitales, la finalidad “científica”

podría acarrear un riesgo a la privacidad. Incluso para cuestiones meramente

22

estadísticas, el programa debería poder generar una huella única para

identificar, por ejemplo, mujeres de hombres y así poder generar una

estadística de uso de acuerdo al sexo del usuario de una determinada red.

9. Soluciones propuestas

La solución propuesta en el presente trabajo consta de varios puntos, a saber:

El desarrollo de una definición de Reconocimiento Facial que englobe las diferentes

tecnologías, y que por ejemplo tome las recomendaciones de la Opinión 02/2012 del

Grupo de Trabajo del Articulo 29 de la Comisión de la Unión Europea.

Que este mismo concepto englobe al Reconocimiento Facial no basándose en una

técnica determinada sino al concepto de realizar cualquier tipo de post-procesado o

normalizado en la foto y/o video.

Que en el caso de imágenes de acceso público, que el procesador de datos indique en

forma pública que las utilizará solamente para el perfeccionamiento de un sistema de

reconocimiento, y que luego de alcanzados los niveles de calidad y precisión en el

reconocimiento, esos identificadores se borren. El sistema que se quiera utilizar en

ambiente “productivo” (una vez ajustado sus parámetros de captura) deberá pasar a

esta fase sin ninguna “huella” previa guardada.

Que en nuestro ordenamiento, para la aplicación de cualquier técnica de

reconocimiento facial, se precise el consentimiento explicito, sin importar la finalidad.

Que la compañía que desee utilizar el reconocimiento indique con que técnica lo

aplica, durante cuánto tiempo y cuantas muestras de nuestro material fotográfico

pueda tomar, así también que se instrumenten recordatorios a modo de alerta que

adviertan al usuario que su material visual está siendo procesado y utilizado a tal fin.

Que cada vez que alguien nos etiqueta se genere un “identificador” único enlazado a

nuestro perfil, si el usuario desea cerrar su cuenta, automáticamente se le dé aviso de

que existe material que él no subió pero que un tercero lo identificó.

23

10. Conclusión

Debido al rápido desarrollo de la tecnología, se hace evidente que el Derecho debe adaptarse a

los mismos repentinos tiempos para tratar de proteger la privacidad e intimidad. Como

podemos deducir, quedan ciertas zonas grises dentro de las problemáticas y soluciones

propuestas, ¿Qué ocurre con el material fotográfico público que cualquier buscador nos ofrece

con solo escribir una descripción genérica? Y qué ocurre con las fotos que Facebook indexa y

a las que se pueden acceder sin loguearse en la red y que la mayoría de los buscadores

indexan para crear los famosos “thumbnails”?. A modo de cierre solo mencionar que es en el

marco de esta nueva temática, que los debates deben plantearse para con ayuda de la

tecnología y el derecho poder arribar a una solución armónica, que proteja la intimidad y

privacidad de las personas sin obstaculizar el desarrollo tecnológico.

24

Índice

1. INTRODUCCIÓN 3

2. EXPLICACIÓN TÉCNICA 4

3. APROXIMACIÓN A LA TEMÁTICA DE PRIVACIDAD DE DATOS 7

4. DERECHO COMPARADO, ESTADOS UNIDOS. 8

5. DERECHO ARGENTINO 12

6. LEY DE DATOS PERSONALES 25326 14

7. RÉGIMEN DE LAS VIDEOCÁMARAS 19

8. PROBLEMÁTICAS DETECTADAS 21

9. SOLUCIONES PROPUESTAS 22

10. CONCLUSIÓN 23