tinywow Ray Ban Stories Wayfarer RW4006 Matte BLack Sunglasses Angle Image Sunglasses 03408 66275429

I-XRAY 2024: tan espléndido como peligroso

/ Ciberseguridad / Por

I-XRAY: Un llamado a la acción para la Ley de Protección de Datos Personales de Argentina

I-XRAY
I-XRAY

La irrupción de tecnologías como I-XRAY, capaces de identificar individuos y extraer información personal de forma masiva y discreta, nos obliga a repensar la protección de la privacidad en el siglo XXI. En Argentina, la Ley 25.326 de Protección de Datos Personales, aunque pionera en su momento, se enfrenta a un desafío sin precedentes.

Si bien la ley argentina consagra principios fundamentales como el consentimiento, la finalidad y la seguridad en el tratamiento de datos personales, la realidad del reconocimiento facial y el análisis masivo de información pública exige una mirada renovada.

“El propósito de crear esta herramienta [I-XRAY] no es abusar de ella […] Queremos llamar la atención sobre el hecho de que este no es un futuro distópico. Todo esto es posible ahora con la ayuda de las tecnologías existentes.” – Kane Ardaifio, co-creador de I-XRAY.

Las palabras de Ardaifio resuenan con fuerza en el contexto argentino. La Ley 25.326, sancionada en el año 2000, no previó la dimensión del desafío que representan estas tecnologías.

A continuación, analizaremos cómo los puntos clave que hemos desarrollado sobre el impacto legal de I-XRAY interpelan directamente a la legislación argentina:

1. Redefiniendo los Límites de la Privacidad en Argentina:

  • El rostro como dato sensible: La Ley 25.326 no contempla de forma específica la protección de datos biométricos como el reconocimiento facial. Es necesario incorporar una categoría especial que reconozca la sensibilidad de estos datos, regulando su recolección, almacenamiento, uso y eliminación de forma estricta y bajo estricto control judicial.

  • Lo público se vuelve privado: La combinación de imágenes faciales capturadas en espacios públicos con bases de datos, como el Registro Nacional de las Personas (RENAPER), puede vulnerar el principio de finalidad previsto en la Ley 25.326. Se requiere una regulación específica que limite el uso de datos personales obtenidos en espacios públicos para fines incompatibles con aquellos para los que fueron recabados.

2. Fortaleciendo la Ley de Protección de Datos Personales:

  • Regulación específica del Reconocimiento Facial: Es urgente incorporar a la Ley 25.326 un capítulo específico que regule el uso del reconocimiento facial, incluyendo la obligatoriedad de realizar Evaluaciones de Impacto sobre la Protección de Datos Personales (EIPD) antes de implementar sistemas de este tipo, tal como lo establece el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que puede servir como modelo a seguir.

Fortaleciendo la Protección de Datos Biométricos en Argentina: Un Análisis Detallado de las Reformas Necesarias

La Ley de Protección de Datos Personales de Argentina (Ley 25.326) necesita una actualización urgente para brindar una protección adecuada a los datos biométricos, en especial los datos faciales, en la era del reconocimiento facial. A continuación, detallamos las reformas necesarias para fortalecer este aspecto crucial de la privacidad:

1. Consentimiento Explícito e Informado para el Tratamiento de Datos Biométricos:

  • Naturaleza del consentimiento: Se debe incorporar a la Ley 25.326 la figura del consentimiento expreso e informado para el tratamiento de datos biométricos. Este consentimiento debe ser:

    • Explícito: Manifestado de forma clara e inequívoca, mediante una acción positiva por parte del titular de los datos (por ejemplo, una declaración escrita o la marcación de una casilla). No se podrán utilizar métodos como el consentimiento tácito o por omisión.

    • Informado: Otorgado con pleno conocimiento de causa, lo que implica que el titular de los datos debe recibir información clara, precisa y accesible sobre:

      • La identidad y el contacto del responsable del tratamiento.

      • La finalidad específica para la que se recopilan los datos biométricos.

      • I-XRAY 2024: tan espléndido como peligroso
        I-XRAY 2024: tan espléndido como peligroso

        El tiempo de conservación de los datos.

      • Los posibles destinatarios de la información.

      • La existencia de sus derechos (acceso, rectificación, supresión, oposición).

    • Libre: Otorgado sin coacción ni condicionamientos, de forma que el titular de los datos tenga la posibilidad real de negarse a proporcionar sus datos biométricos o de revocar su consentimiento en cualquier momento.

  • Excepciones al consentimiento: Las excepciones al consentimiento para el tratamiento de datos biométricos deberán estar claramente definidas por ley y limitadas a casos excepcionales y debidamente justificados, como:

    • La seguridad nacional.

    • La prevención, investigación, detección o enjuiciamiento de infracciones penales graves.

    • La protección de intereses vitales del interesado o de otra persona física.

    • En estos casos, se deberán establecer mecanismos de control estrictos para evitar abusos y garantizar que el tratamiento de datos biométricos sea proporcionado a la finalidad perseguida.

2. Plazos Máximos de Conservación y Medidas de Seguridad Específicas:

  • Establecimiento de plazos máximos: La ley debe establecer plazos máximos de conservación de datos biométricos, que deberán ser proporcionales a la finalidad para la que fueron recabados. Una vez cumplida la finalidad o vencido el plazo, los datos deberán ser eliminados de forma segura e irreversible.

  • Medidas de seguridad específicas: Se debe exigir a las entidades que manejen datos biométricos, tanto públicas como privadas, la implementación de medidas de seguridad específicas y acordes al nivel de riesgo de esta información, incluyendo:

    • Medidas técnicas: Cifrado de datos, control de acceso, autenticación de usuarios, copias de seguridad, registros de actividad, protección contra malware.

    • Medidas organizativas: Protocolos de seguridad, formación del personal, gestión de incidentes, evaluaciones periódicas de seguridad.

3. Limitación del Acceso y Uso por parte de Terceros:

  • Acceso restringido: Se debe regular de forma estricta el acceso y uso de datos biométricos por parte de terceros, especialmente empresas privadas. Solo se permitirá su tratamiento si existe una base legal que lo justifique (por ejemplo, una relación contractual o el cumplimiento de una obligación legal) y se cumplen con las garantías adecuadas de seguridad y confidencialidad.

  • Prohibición de la comercialización: Se debe prohibir expresamente la comercialización de datos biométricos, así como su uso para fines discriminatorios o que atenten contra la dignidad humana.

4. Derecho a la No Identificación y a la Anonimización:

  • Derecho a la no identificación: Las personas deben tener derecho a no ser identificadas mediante tecnologías de reconocimiento facial en espacios públicos, salvo en los casos excepcionales y bajo estricto control judicial mencionados anteriormente.

  • Derecho a la anonimización: Las personas deben tener derecho a solicitar la anonimización de su imagen en grabaciones o transmisiones realizadas en espacios públicos, siempre que no se vean afectados fines legítimos de seguridad o justicia.

5. Control Individual sobre los Datos:

  • Derechos ARCO: Se debe garantizar el pleno ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) sobre los datos biométricos, brindando a las personas herramientas efectivas para controlar su información.

  • Portabilidad de los datos: Se debe reconocer el derecho a la portabilidad de los datos biométricos, es decir, la posibilidad de recibir los datos en un formato estructurado, de uso común y lectura mecánica, para poder transmitirlos a otro responsable del tratamiento.

6. Supervisión y Rendición de Cuentas:

  • Fortalecimiento de la AAIP: La Agencia de Acceso a la Información Pública (AAIP) debe ser dotada de mayores recursos humanos, técnicos y financieros para poder fiscalizar de forma efectiva el cumplimiento de la ley en materia de datos biométricos.

  • Sanciones disuasorias: Se deben establecer sanciones disuasorias para las entidades que incumplan la normativa sobre protección de datos biométricos, incluyendo multas económicas, la suspensión o revocación de la autorización para tratar datos personales, e incluso la responsabilidad penal en casos graves.

En síntesis, la protección de los datos biométricos, en especial los datos faciales, se ha vuelto un asunto crucial en la era del reconocimiento facial.

La actualización de la Ley 25.326 en Argentina es imprescindible para garantizar que la innovación tecnológica no se traduzca en una vulneración de la privacidad y los derechos fundamentales de los ciudadanos.

3. El camino a seguir:

La tecnología avanza a pasos agigantados, y la legislación debe seguir su ritmo. Argentina tiene la oportunidad de liderar la región en materia de protección de datos personales en la era del reconocimiento facial.

Es necesario un debate amplio y participativo, que involucre a expertos en tecnología, juristas, organizaciones de la sociedad civil y al público en general, para construir un marco legal robusto, actualizado y que proteja eficazmente la privacidad de los ciudadanos en la era digital.

Profundicemos en cada punto clave del impacto legal de I-XRAY:

1. Redefiniendo los Límites de la Privacidad:

La concepción tradicional de la privacidad, centrada en la protección de datos almacenados y la confidencialidad de la información personal, se ve desafiada por tecnologías como I-XRAY en dos aspectos fundamentales:

  • El rostro como dato sensible: Mientras que tradicionalmente la información personal se limitaba a nombres, direcciones o números de teléfono, el rostro adquiere una nueva dimensión como dato sensible en la era del reconocimiento facial. Este conjunto único de características biométricas no solo permite la identificación inequívoca de un individuo, sino que también abre la puerta a la vigilancia masiva, el rastreo de movimientos y la creación de perfiles detallados basados en características físicas y emocionales.

    • Imaginemos un futuro donde las cámaras de seguridad, combinadas con el reconocimiento facial, registran cada uno de nuestros pasos, identificando nuestros hábitos de consumo, nuestras relaciones personales e incluso nuestro estado emocional. Este escenario, que parece sacado de una novela distópica, se acerca cada vez más a la realidad con tecnologías como I-XRAY.

  • Lo público se vuelve privado: La proliferación de cámaras y la creciente accesibilidad de información en línea han diluido la línea entre lo público y lo privado. I-XRAY aprovecha esta realidad para convertir datos aparentemente inocuos en información sensible sobre nuestra vida privada. La combinación de imágenes faciales capturadas en espacios públicos con bases de datos masivas permite inferir información sobre nuestras relaciones sociales, preferencias políticas, creencias religiosas, estado de salud e incluso nuestra orientación sexual, todo ello sin nuestro conocimiento o consentimiento.

    • Imaginemos que una simple fotografía tomada en una manifestación pública puede ser utilizada para identificar a todos los asistentes, rastrear sus movimientos posteriores y crear una base de datos de “potenciales disidentes”. Este escenario, que hasta hace poco parecía propio de regímenes autoritarios, se vuelve cada vez más plausible con el avance del reconocimiento facial y la minería de datos.

2. La Urgencia de un Nuevo Marco Legal para el Reconocimiento Facial en Argentina: Hacia una Protección Reforzada de la Privacidad

El avance tecnológico, si bien positivo en muchos aspectos, plantea desafíos sin precedentes para la protección de la privacidad. Las tecnologías de reconocimiento facial, en particular, nos sitúan ante un panorama complejo donde la capacidad de identificar y rastrear individuos alcanza niveles sin precedentes.

La Ley de Protección de Datos Personales de Argentina (Ley 25.326), si bien fue pionera en su momento, requiere una profunda actualización para afrontar este nuevo escenario. Se vuelve crucial establecer un marco legal sólido y específico que regule de manera integral el uso del reconocimiento facial, brindando una protección reforzada a la privacidad de los ciudadanos.

A continuación, profundizamos en los puntos clave que esta nueva legislación debería abordar:

2.1 Regulación específica del Reconocimiento Facial:

Las leyes generales de protección de datos, aunque esenciales, resultan insuficientes para abordar las particularidades del reconocimiento facial. Esta tecnología, por su potencial impacto en la vida de las personas, requiere una regulación específica que establezca:

  • Principio de especificidad:

    • La nueva legislación debe definir de manera clara y precisa qué se entiende por “reconocimiento facial” y “datos biométricos faciales”, delimitando su alcance y diferenciándolo de otros tratamientos de datos personales.

  • Finalidades legítimas:

    • El uso del reconocimiento facial debe limitarse a fines específicos, legítimos y necesarios, y siempre en el marco del respeto a los derechos fundamentales. Se deben establecer por ley las finalidades que se consideran legítimas, priorizando la seguridad pública y la persecución de delitos graves, sin habilitar un uso indiscriminado por parte del Estado o de empresas privadas.

    • Algunos ejemplos de finalidades legítimas podrían ser:

      • La identificación de personas buscadas por la justicia o desaparecidas.

      • El control de acceso a infraestructuras críticas o áreas de seguridad.

      • La prevención de delitos graves, siempre que se cumplan con los principios de necesidad, proporcionalidad y subsidiariedad.

    • Se deben excluir expresamente finalidades como la vigilancia masiva, la creación de perfiles sociales o la discriminación algorítmica.

  • Consentimiento informado:

    • Como regla general, se debe exigir el consentimiento explícito, libre e informado de los individuos antes de capturar, procesar o utilizar sus datos biométricos faciales. Este consentimiento debe ser específico para cada finalidad y no podrá obtenerse mediante cláusulas abusivas o engañosas.

    • Se deben establecer excepciones al consentimiento solo en casos excepcionales y debidamente justificados, como la seguridad nacional, la prevención o investigación de delitos graves o la protección de intereses vitales del individuo o de terceros. En estos casos, se deberán establecer mecanismos de control estrictos para evitar abusos.

  • Evaluación de impacto:

    • Se debe establecer la obligatoriedad de realizar Evaluaciones de Impacto sobre la Protección de Datos Personales (EIPD) antes de implementar cualquier sistema de reconocimiento facial, tanto para el sector público como privado. Estas evaluaciones deberán analizar de forma exhaustiva los riesgos potenciales para la privacidad, la seguridad y otros derechos fundamentales, así como las medidas de mitigación previstas.

    • Las EIPD deberán ser públicas y accesibles para garantizar la transparencia y la participación ciudadana en la toma de decisiones que afecten a la privacidad.

2.2 Protección de Datos Biométricos Faciales:

Los datos biométricos faciales, por su carácter único, sensible e inmutable, merecen un nivel de protección reforzado. La nueva legislación debe:

  • Reconocer los datos biométricos faciales como categoría especial:

    • Se debe incluir a los datos biométricos faciales dentro de la categoría de “datos sensibles” de la Ley 25.326, junto con la información genética, sanitaria, ideológica o religiosa. Esto implica la aplicación de un régimen de protección más estricto, con mayores requisitos de seguridad y confidencialidad.

  • Limitar la recopilación y almacenamiento:

    • Se deben establecer plazos máximos de conservación de datos biométricos faciales, que deberán ser proporcionales a la finalidad para la que fueron recabados. Una vez cumplida la finalidad o vencido el plazo, los datos deberán ser eliminados de forma segura.

    • Se debe regular de forma estricta el acceso y uso de datos biométricos faciales por parte de terceros, especialmente empresas privadas. Solo se permitirá su tratamiento si existe una base legal que lo justifique y se cumplen con las garantías adecuadas de seguridad y confidencialidad.

  • Garantizar la seguridad:

    • Las entidades que manejen datos biométricos faciales, tanto públicas como privadas, deberán implementar medidas de seguridad robustas y actualizadas para prevenir el acceso no autorizado, la alteración, la pérdida o el uso indebido de la información.

    • Estas medidas deben incluir tanto aspectos técnicos (cifrado, control de acceso, copias de seguridad) como organizativos (protocolos de seguridad, formación del personal, gestión de incidentes).

2.3 Derecho a la No Identificación y a la Anonimización:

En un mundo cada vez más monitorizado, el derecho a la privacidad debe incluir el derecho a no ser identificado o rastreado sin consentimiento. La nueva legislación debe garantizar:

  • Derecho a la anonimización:

    • Las personas deben tener derecho a solicitar la anonimización de su imagen en grabaciones o transmisiones realizadas en espacios públicos, siempre que no se vean afectados fines legítimos de seguridad o justicia.

  • Prohibición de sistemas de identificación masiva en tiempo real:

    • Se debe prohibir de forma general el uso de sistemas de reconocimiento facial en tiempo real para la identificación masiva e indiscriminada de personas en espacios públicos.

    • Se podrán establecer excepciones limitadas y bajo estricto control judicial para casos concretos y justificados, como la búsqueda de personas desaparecidas o la prevención de atentados terroristas.

    • En ningún caso se podrán utilizar estos sistemas para la creación de perfiles sociales, la discriminación algorítmica o la restricción de libertades fundamentales.

La implementación de un nuevo marco legal que regule el uso del reconocimiento facial en Argentina es un imperativo para proteger la privacidad y los derechos fundamentales de los ciudadanos.

I-XRAY
I-XRAY

Es necesario un debate amplio, participativo e informado que involucre a todos los actores relevantes (legisladores, jueces, expertos en tecnología, organizaciones de la sociedad civil, ciudadanos) para construir un marco legal robusto, actualizado y respetuoso de los derechos humanos en la era digital. La tecnología debe estar al servicio de las personas, no al revés.

  • Control individual sobre los datos: La legislación debe empoderar a los ciudadanos otorgándoles un mayor control sobre sus datos biométricos:

    • Derecho de acceso: Las personas deben tener derecho a saber si sus datos biométricos están siendo procesados, con qué finalidad y por cuánto tiempo.

    • Derecho de rectificación: En caso de errores o datos inexactos, las personas deben tener derecho a solicitar su rectificación o actualización.

    • Derecho de supresión: Las personas deben tener derecho a solicitar la eliminación de sus datos biométricos cuando ya no sean necesarios para los fines que justificaron su recolección.

  • Supervisión y rendición de cuentas: Para garantizar el cumplimiento de la legislación, se deben establecer mecanismos de control y supervisión independientes:

    • Creación de autoridades de control: Organismos independientes encargados de supervisar el uso de tecnologías de reconocimiento facial, investigar denuncias y sancionar infracciones.

    • Mecanismos de transparencia: Obligar a las entidades públicas y privadas a informar sobre el uso de tecnologías de reconocimiento facial, incluyendo estadísticas, evaluaciones de impacto y medidas de seguridad.

    • Vías de recurso efectivas: Facilitar el acceso a la justicia para los ciudadanos que vean vulnerados sus derechos, garantizando un sistema de recursos ágil y efectivo.

3. Desafíos y Tendencias Emergentes:

La rápida evolución tecnológica plantea un desafío constante para la legislación, que debe adaptarse para abordar nuevas problemáticas:

  • Tecnologías de evasión de reconocimiento facial: El desarrollo de herramientas para “engañar” a los sistemas de reconocimiento facial, como el uso de maquillaje especial o accesorios, plantea un debate sobre la legalidad de estas prácticas y el equilibrio entre privacidad y seguridad.

  • Impacto en la libertad de expresión y el derecho a la protesta: El uso del reconocimiento facial para identificar y rastrear manifestantes puede tener un efecto disuasorio sobre la libertad de expresión y el derecho a la protesta pacífica. Se debe garantizar que la seguridad no se utilice como pretexto para limitar los derechos fundamentales.

  • Necesidad de una regulación global: La naturaleza transfronteriza de los datos y el alcance global de las tecnologías de reconocimiento facial exigen una cooperación internacional para evitar lagunas legales y garantizar la protección efectiva de la privacidad.

I-XRAY actúa como una llamada de atención para la sociedad y los legisladores. 

La era del reconocimiento facial nos obliga a repensar los límites de la privacidad y a construir un marco legal sólido que proteja los derechos fundamentales de los ciudadanos.

No se trata de impedir el progreso tecnológico, sino de guiarlo por un camino ético y responsable, donde la innovación vaya de la mano del respeto a la dignidad humana.

 

Por Dr Martín Leguizamón – Especialista en Derecho y Tecnología.

 

Lea más sobre Ciberseguridad en

Manual de Riesgos de Ciberseguridad Esencial 2024

Superstición e inseguridad 2024: análisis auténtico

Operación Kaerb: operativo eficaz al cibercrimen 2024

Agotamiento Profesional Auténtico: Ciberseguridad 2024

Brecha de habilidades 2024: Informe definitivo Fortinet

 

I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, 

I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-XRAY, I-X

Scroll al inicio