No, las fotos de rostros no son por sí mismas datos biométricos

La Superintendencia de Industria y Comercio (SIC) falló un caso en el que una periodista solicitaba el bloqueo de un portal y unas publicaciones en redes sociales donde aparecía una foto con su rostro porque, decía, afectaba su intimidad, su honra y buen nombre. La SIC concluye que no tiene competencia para ordenar el bloqueo. Sin embargo, hace un análisis de fondo que resulta en una interpretación excesiva y peligrosa sobre las tensiones entre intimidad y libertad de expresión.

La protección de datos como un mecanismo para combatir posibles excesos en la expresión humana en el entorno digital puede parecer una ruta interesante -que ofrece resultados rápidos pues la SIC tiene facultades de bloqueo en Internet-, pero no puede usarse así porque provoca efectos exagerados de bloqueo de la expresión, incluso censura.

La protección de datos es sobre todo la respuesta regulatoria al uso de los datos personales en la economía, ella no está pensada para lidiar con la tensión con la libertad de expresión y por eso es normal que la ley de protección de datos exceptúe su aplicación cuando se trata de casos de libertad de expresión. En la reciente resolución 46344 de la SIC se nota su inconformidad con este tema, acepta la orden legal de que no es competente, pero manifiesta que quisiera actuar diferente al analizar el caso de fondo.

Puedo estar de acuerdo en que el caso concreto parece ser de un abuso en el ejercicio de la libertad de expresión que debería ser revisado por un juez. Sin embargo, no es de competencia de la SIC, y cuando esta cita en forma descontextualizada sentencias de la Corte Constitucional en las que se ha discutido la tensión entre libertad de expresión y el buen nombre y la honra, sin poder hacer nada al respecto, no parece que esté avanzando en la causa.

Ahora, lo más preocupante es que en el afán por justificar que la protección de datos pueda limitar la expresión, fortaleció una interpretación a la medida de ese propósito. La SIC cambió la regla “las fotos de rostros no son datos biométricos a menos que haya un procesamiento tecnológico para identificar o autenticar” -regla que está en línea con las disposiciones del Reglamento General de Protección de Datos (RGPD) europeo y aparece en fallos como la resolución 460/2017-, por una generalización “toda foto del rostro es un dato biométrico”. Les explico por qué esto es problemático.

La definición de estas categorías es importante porque su relación con la ley es diferente. Cuando un dato es definido como biométrico se anticipa que habrá procesamiento de datos sensibles y, por tanto, la ley obliga al responsable de su recolección y tratamiento a requerir la autorización previa y expresa de la persona titular del dato, del rostro.

Tiene razón la SIC cuando dice en la nueva resolución que “la ley colombiana no establece que sea necesario un tratamiento técnico específico para que la información sea catalogada como dato biométrico”. Sin embargo, al decirlo así se distrae del hecho de que el propósito de la tecnología (la que sea) en el caso de los datos biométricos, es que sirva para identificar o autenticar a las personas y es en eso en lo que este caso falla.

En el caso, la foto y su publicación digital es usada -para bien o para mal- con propósitos de facilitar la expresión, no con fines de identificación o autenticación. Por eso, exigir autorización previa no solo es algo desmedido y descontextualizado en términos de los propósitos que persigue la protección de datos, sino que además sería un mecanismo de censura previa en términos de libertad de expresión.

Atención: con ello no quiero decir que con el escudo de la expresión todo vale, sino que se aplica el marco de libertad de expresión. La foto es de una figura pública y fue publicada en un medio digital. La tensión tendría que resolverse con una evaluación de necesidad y proporcionalidad que permite ese marco.

Así las cosas, usar la protección de datos para defender la dignidad e intimidad de una persona cuya historia clínica ha sido filtrada es una cosa, y otra es invocar esta protección para evitar que alguien diga algo sobre otra persona o para ilustrar su opinión.

El problema de aproximación a la naturaleza de las fotos faciales no es exclusivo de la SIC, ni de la tensión con la libertad de expresión. El celo por aplicar esta categoría esta vez contrasta con la indiferencia en otros casos donde ignorarlo puede tener importante impacto para la sociedad en general.

Por ejemplo, el sistema de cédula digital de la Registraduría Nacional del Estado Civil (RNEC) muestra un caso de manual del cambio en la naturaleza de dato personal a dato sensible (biométrico) de la imagen facial debido a la integración de tecnología. La cédula tradicionalmente incluye una foto del rostro (dato personal) que sirve para identificar y autenticar a las personas, pero hasta hace poco era un proceso manual, que ahora se transforma con tecnología biométrica.

La pregunta es por qué la RNEC no ha implementado protecciones a nuestros derechos en un sistema biométrico que procesa esas imágenes faciales para identificarnos y autenticarnos más allá de las elecciones -función tradicional de RNEC-, también para encontrar criminales (o buscar vándalos) o desarrollar todo un negocio con el sector privado que nos ofrece servicios. En este caso se está ignorando completamente la especial protección de la que gozan los datos biométricos.

Esta transformación tampoco la han analizado las autoridades. Hay que advertir que tanto localmente como regionalmente se reconoce un vacío en Colombia en relación con el sector público (al que pertenece la RNEC) porque la SIC no es la autoridad de protección de datos del sector público: lo es la Procuraduría General de la Nación que hasta la fecha no ha asumido plenamente estas facultades. Sin embargo, si vamos a buscar competencias para aumentar el impacto de la protección de datos con la ley actual, la SIC sí es la responsable de la fase de investigación y con semejante tema no se ha metido.

La Superintendencia de Industria y Comercio (SIC) falló un caso en el que una periodista solicitaba el bloqueo de un portal y unas publicaciones en redes sociales donde aparecía una foto con su rostro porque, decía, afectaba su intimidad, su honra y buen nombre. La SIC concluye que no tiene competencia para ordenar el bloqueo. Sin embargo, hace un análisis de fondo que resulta en una interpretación excesiva y peligrosa sobre las tensiones entre intimidad y libertad de expresión.

La protección de datos como un mecanismo para combatir posibles excesos en la expresión humana en el entorno digital puede parecer una ruta interesante -que ofrece resultados rápidos pues la SIC tiene facultades de bloqueo en Internet-, pero no puede usarse así porque provoca efectos exagerados de bloqueo de la expresión, incluso censura.

La protección de datos es sobre todo la respuesta regulatoria al uso de los datos personales en la economía, ella no está pensada para lidiar con la tensión con la libertad de expresión y por eso es normal que la ley de protección de datos exceptúe su aplicación cuando se trata de casos de libertad de expresión. En la reciente resolución 46344 de la SIC se nota su inconformidad con este tema, acepta la orden legal de que no es competente, pero manifiesta que quisiera actuar diferente al analizar el caso de fondo.

Puedo estar de acuerdo en que el caso concreto parece ser de un abuso en el ejercicio de la libertad de expresión que debería ser revisado por un juez. Sin embargo, no es de competencia de la SIC, y cuando esta cita en forma descontextualizada sentencias de la Corte Constitucional en las que se ha discutido la tensión entre libertad de expresión y el buen nombre y la honra, sin poder hacer nada al respecto, no parece que esté avanzando en la causa.

Ahora, lo más preocupante es que en el afán por justificar que la protección de datos pueda limitar la expresión, fortaleció una interpretación a la medida de ese propósito. La SIC cambió la regla “las fotos de rostros no son datos biométricos a menos que haya un procesamiento tecnológico para identificar o autenticar” -regla que está en línea con las disposiciones del Reglamento General de Protección de Datos (RGPD) europeo y aparece en fallos como la resolución 460/2017-, por una generalización “toda foto del rostro es un dato biométrico”. Les explico por qué esto es problemático.

La definición de estas categorías es importante porque su relación con la ley es diferente. Cuando un dato es definido como biométrico se anticipa que habrá procesamiento de datos sensibles y, por tanto, la ley obliga al responsable de su recolección y tratamiento a requerir la autorización previa y expresa de la persona titular del dato, del rostro.

Tiene razón la SIC cuando dice en la nueva resolución que “la ley colombiana no establece que sea necesario un tratamiento técnico específico para que la información sea catalogada como dato biométrico”. Sin embargo, al decirlo así se distrae del hecho de que el propósito de la tecnología (la que sea) en el caso de los datos biométricos, es que sirva para identificar o autenticar a las personas y es en eso en lo que este caso falla.

En el caso, la foto y su publicación digital es usada -para bien o para mal- con propósitos de facilitar la expresión, no con fines de identificación o autenticación. Por eso, exigir autorización previa no solo es algo desmedido y descontextualizado en términos de los propósitos que persigue la protección de datos, sino que además sería un mecanismo de censura previa en términos de libertad de expresión.

Atención: con ello no quiero decir que con el escudo de la expresión todo vale, sino que se aplica el marco de libertad de expresión. La foto es de una figura pública y fue publicada en un medio digital. La tensión tendría que resolverse con una evaluación de necesidad y proporcionalidad que permite ese marco.

Así las cosas, usar la protección de datos para defender la dignidad e intimidad de una persona cuya historia clínica ha sido filtrada es una cosa, y otra es invocar esta protección para evitar que alguien diga algo sobre otra persona o para ilustrar su opinión.

El problema de aproximación a la naturaleza de las fotos faciales no es exclusivo de la SIC, ni de la tensión con la libertad de expresión. El celo por aplicar esta categoría esta vez contrasta con la indiferencia en otros casos donde ignorarlo puede tener importante impacto para la sociedad en general.

Por ejemplo, el sistema de cédula digital de la Registraduría Nacional del Estado Civil (RNEC) muestra un caso de manual del cambio en la naturaleza de dato personal a dato sensible (biométrico) de la imagen facial debido a la integración de tecnología. La cédula tradicionalmente incluye una foto del rostro (dato personal) que sirve para identificar y autenticar a las personas, pero hasta hace poco era un proceso manual, que ahora se transforma con tecnología biométrica.

La pregunta es por qué la RNEC no ha implementado protecciones a nuestros derechos en un sistema biométrico que procesa esas imágenes faciales para identificarnos y autenticarnos más allá de las elecciones -función tradicional de RNEC-, también para encontrar criminales (o buscar vándalos) o desarrollar todo un negocio con el sector privado que nos ofrece servicios. En este caso se está ignorando completamente la especial protección de la que gozan los datos biométricos.

Esta transformación tampoco la han analizado las autoridades. Hay que advertir que tanto localmente como regionalmente se reconoce un vacío en Colombia en relación con el sector público (al que pertenece la RNEC) porque la SIC no es la autoridad de protección de datos del sector público: lo es la Procuraduría General de la Nación que hasta la fecha no ha asumido plenamente estas facultades. Sin embargo, si vamos a buscar competencias para aumentar el impacto de la protección de datos con la ley actual, la SIC sí es la responsable de la fase de investigación y con semejante tema no se ha metido.