Durante su último Pleno, el Comité Europeo de Protección de Datos (CEPD) emitió un dictamen sobre el uso de tecnologías de reconocimiento facial por parte de operadores aeroportuarios y aerolíneas para gestionar el flujo de pasajeros en los aeropuertos. Este dictamen evalúa la compatibilidad de estas tecnologías con varios principios clave del Reglamento General de Protección de Datos (RGPD), como la limitación del almacenamiento, la integridad y confidencialidad de los datos, la protección desde el diseño y la seguridad del tratamiento.
Compatibilidad con el RGPD y soluciones de almacenamiento
El dictamen del CEPD subraya que no existe un requisito legal uniforme en la Unión Europea que obligue a los operadores aeroportuarios y aerolíneas a verificar que el nombre en la tarjeta de embarque coincida con el del documento de identidad del pasajero. En casos donde esta verificación no sea legalmente necesaria, la utilización de datos biométricos para realizarla se consideraría un tratamiento excesivo de datos.
El CEPD analizó la conformidad de cuatro tipos diferentes de soluciones de almacenamiento de datos biométricos, desde aquellas donde los datos se almacenan exclusivamente en manos del pasajero hasta arquitecturas centralizadas con diferentes modalidades. Se concluyó que solo las soluciones donde los datos biométricos se almacenan en manos del pasajero o en una base de datos central con la clave de cifrado en poder del individuo cumplen con los principios de integridad, confidencialidad y protección de datos desde el diseño.
Por otro lado, las soluciones que dependen de un almacenamiento centralizado sin que las claves de cifrado estén en manos de la persona no cumplen con los requisitos de seguridad y protección desde el diseño, según el CEPD. Además, el dictamen subraya que los responsables del tratamiento deben justificar adecuadamente los períodos de conservación de datos, limitándolos estrictamente a lo necesario para la finalidad propuesta.
Otros temas abordados por el CEPD
El CEPD también adoptó un informe sobre el trabajo del grupo de ChatGPT, que promueve la cooperación entre las autoridades de protección de datos (APD) que investigan este chatbot desarrollado por OpenAI. El informe discute aspectos como la licitud del raspado de datos para entrenar la IA, la equidad en el cumplimiento del RGPD, la transparencia y exactitud de los datos, y la capacidad de los interesados para ejercer sus derechos.
Además, el CEPD decidió elaborar directrices sobre la inteligencia artificial generativa, enfocándose en el raspado de datos en el contexto del entrenamiento de IA.
Finalmente, el CEPD emitió una declaración sobre el «Paquete de acceso a los datos financieros y pagos» de la Comisión Europea, destacando la necesidad de incluir salvaguardias adicionales en el mecanismo de seguimiento de transacciones para prevenir el fraude en los pagos, garantizando que cualquier injerencia en la protección de datos personales sea necesaria y proporcional.
