Seguridad

Usar cámaras térmicas para regular los accesos puede vulnerar el GDPR

Las cámaras térmicas que están implantando las empresas son muy fáciles de hackear

Si un comercio conserva los datos de temperatura de sus clientes gracias a una cámara térmica, la AEPD considera que se produce un tratamiento de datos sin legitimación. . Por este motivo, el organismo de control podría proponer para sanción esta práctica.

Las cámaras térmicas son una tecnología “muy intrusiva” y la Agencia Española en Protección de Datos (AEPD) es muy contundente: si algún establecimiento la usa para recabar y conservar datos biométricos de sus clientes “sin un proceso que esté lo suficientemente legitimado”, la GDPR podría caer con todo su peso sobre los infractores.

La GDPR es el Reglamento Europeo de Protección de Datos que entró en vigor en 2018 y prevé multas en empresas de hasta 20 millones de euros o del 4% de la facturación total sobre las cuentas del ejercicio anterior. El coordinador de Relaciones Institucionales de la AEPD, Jesús Rubí, explica a Business Insider España que estas sanciones son algunas de las más “disuasorias” que recoge esta normativa.

“No sería lo mismo un incumplimiento en una gran factoría de coches con miles de trabajadores que en un pequeño comercio o en una pyme. En esos casos, se modula incluso si hay sanción económica o no, o su cuantía. Es una situación completamente distinta y hay que ver cada caso“, advierte Rubí.

Con estas palabras, la AEPD no cierra la puerta a la posibilidad de proponer sanciones en casos muy concretos en los que la instalación de cámaras térmicas hayan supuesto la vulneración del derecho a la protección de datos.

La prematura implantación de estas cámaras térmicas no solo provoca un debate sobre posibles riesgos jurídicos. La tecnología de por sí también tiene ciertas lagunas.

Juan Manuel Bermúdez, doctor en Química e investigador posdoctoral en la Universidad de A Coruña y en la Universidad de Cambridge. Bermúdez es especialista en dispositivos termográficos, ya que los utiliza en su grupo de investigación. Gestiona una cuenta divulgativa en Twitter e Instagram sobre este ámbito: @thermogramer. En este artículo enseñaba cómo se podían ‘hackear’ este tipo de cámaras térmicas.

Algunas empresas están implantando esta tecnología sin que exista orden o recomendación del Gobierno

Desde hace semanas, grandes empresas están instalando este tipo de tecnología para controlar los accesos. Hay un complejo debate jurídico sobre quién debe ejecutar este tipo de controles en los que se toma la temperatura. La propia AEPD planteaba, siguiendo directrices del Ministerio de Sanidad, que debería ser personal sanitario.

Sin embargo, la Policía Nacional interpreta que los profesionales de la seguridad privada también están habilitados para estas funciones, según la respuesta a una consulta presentada a instancias de un sindicato.

Jesús Rubí, de la AEPD, pide ahondar un poco más en la controversia. “En el organismo de control mantenemos el criterio de que hay que garantizar el derecho a la privacidad”. Insiste en que esta tecnología es “más intrusiva, porque además hace reconocimiento facial, lo que implica el tratamiento de datos biométricos, es decir, categorías especiales de datos que exigen contar con garantías reforzadas”.

Falsos medicamentos y test para la Covid-19 inundan la Dark Web

Además, “permite la conservación de toda esa información más allá de su uso para una finalidad concreta”.

A juicio de Rubí, implementar las cámaras técnicas para controlar el acceso a establecimientos comerciales —por ejemplo— debe hacerse con unas garantías muy explícitas y determinadas. Para eso, la AEPD lleva pidiendo desde hace semanas que se pronuncie el Ministerio de Sanidad. Del mismo modo, la Agencia advertía esta semana de que iniciará una campaña para recabar más datos sobre las apps que permitirán rastreos de contactos, ya que desde el Ejecutivo no se les ha provisto de información de ningún tipo.

Si estas cámaras tienen como fin “garantizar el control de la epidemia”, entonces se ha de tener en cuenta, según Rubí, una orden ministerial de Sanidad que explicita que un caso sospechoso de positivo por coronavirus solo lo es por múltiples factores. En otras palabras: tener fiebre no significa tener el COVID-19.

Las cámaras pueden crear una “falsa sensación de seguridad” y generar un tratamiento de datos sin la suficiente legitimidad

“¿Qué se pretende con la captura de esta información? Identificar a una persona concreta para tomar una decisión sobre ella. Si uno va al supermercado y le deniegan la entrada estando rodeado de sus vecinos, se produce una segregación. Y la persona es identificable, porque le pueden pedir que se identifique, o porque sus vecinos le pueden reconocer“, advierte Rubí.

Por esta razón, desde la AEPD entienden que hay que proceder con mucha cautela en el caso de que un establecimiento instale este tipo de tecnología para garantizar el acceso de personas sin síntomas de coronavirus. “Puede crear una falsa sensación de seguridad”, apunta el técnico de la AEPD, que recuerda que muchos casos “son asintomáticos”.

“Puede suceder que este señor, cuando vuelva a casa tras haber sido identificado al intentar entrar en el supermercado, se encuentre en su puerta con un cartel de un vecino pidiéndole que se marche del bloque, tal y como le ha sucedido a varios profesionales sanitarios”, lamenta.

En este caso, Rubí apunta que convergen 2 cuestiones “completamente distintas”. “Denegar el acceso a un establecimiento no es un problema de protección de datos: concierne a las limitaciones y garantías del derecho de admisión, y es un tema de Consumo. Pero en el caso de que un establecimiento conservara esa información asociada a una persona, estaríamos hablando de que hay un tratamiento de datos especiales que no tendrían legitimación“.

Hoy por hoy, sin una orden expresa del Gobierno de Sánchez, instalar estas cámaras térmicas —y conservar los datos sobre la temperatura corporal de individuos— puede suponer que haya un tratamiento de datos —de datos además, especiales— “ilegítimo”. Por esta razón, la AEPD podría iniciar “actuaciones de inspección y sanción” atendiendo al GDPR.

*Artículo original publicado en Business Insider

Te recomendamos

Sobre el autor

Business Insider