¿Seguridad o privacidad?: el dilema de los sistemas biométricos

Identificarnos a través del rostro y las huellas dactilares forma parte del día a día. Las características biométricas se usan para poder iniciar sesión en nuestros computadores, acceder a la oficina y al gimnasio, desbloquear nuestros celulares e incluso para pagar o acceder a nuestra banca en línea.

Desde que se descubrió la utilidad de los sistemas biométricos ha tenido lugar una importante evolución en su uso, desde la seguridad pública hasta la seguridad privada. La demanda de sistemas biométricos para vigilancia aumentó a partir de los atentados del 11 de septiembre de 2001 en Estados Unidos, y así se fueron incorporando las cámaras en espacios públicos con el propósito de evitar ataques terroristas e identificar a criminales.

Hace décadas que Jain y su equipo (en el libro Biometrics: Personal Identification in Networked Society) explicaron los efectos disuasorios de los sistemas biométricos sobre delitos y fraudes, el incremento en la agilización de procesos comerciales y la protección de recursos críticos. Por ejemplo, los casinos de Estados Unidos llevan años identificando a los individuos que hacen trampa comparando las imágenes con fotografías de sujetos que habían sido arrestados o expulsados de casinos.

(Lea además: Gestores de contraseñas: una herramienta clave para proteger sus datos)

En nuestro estudio explicamos que el progresivo incremento del uso de sistemas biométricos ha dejado atrás un periodo en el que se empleaban de forma esporádica y con fines de seguridad. Ahora los s son clientes, trabajadores y simples ciudadanos.

Este contexto expansivo abre un importante debate social en torno a la privacidad y a la seguridad de estos sistemas.

Algunas multinacionales como Amazon, IBM y Microsoft repudiaron la utilización de los sistemas de reconocimiento facial para vulnerar los derechos humanos tras los hechos ocurridos en Estados Unidos con la muerte de George Floyd.

IBM dejó de ofrecer software de reconocimiento facial, indicando que se opone y no tolera la utilización de ninguna tecnología para la vigilancia en masa, la perfilación racial y la violación de los derechos humanos y de la libertad.

Amazon implementó una moratoria de un año, que ha sido extendida, para la tecnología de reconocimiento facial de uso policial y le solicita al Gobierno de EE. UU. que establezca regulaciones para el uso ético de este tipo de tecnología.

Microsoft indicó que no venderá tecnología de reconocimiento facial a los departamentos de policía de los Estados Unidos hasta que haya una regulación nacional de estas tecnologías basada en el respeto de los derechos humanos.

Otro elemento que destaca sobre este tipo de tecnología reside en los posibles errores.

Diversos estudios han indicado que los algoritmos de los sistemas de reconocimiento facial efectúan clasificaciones erróneas en función del color de la piel, la edad y el sexo de los individuos.

Un ejemplo de esto fue la prueba realizada por la Unión Americana de Libertades Civiles (Ucla) del sistema de reconocimiento facial de Amazon Rekognition, en el que comparaban fotos de del Congreso de Estados Unidos con 25.000 fotos de personas convictas. En los resultados obtuvieron 28 falsos positivos: 28 del Congreso fueron identificados por el sistema como personas que habían sido condenadas por un delito. Los resultados de los individuos de piel negra eran desproporcionados con respecto a los de piel blanca.

En la actual época de desarrollo tecnológico convergente, donde distintos dispositivos intercambian datos de forma fluida y ágil, es creciente la demanda de la denominada privacidad biométrica. Las empresas cuentan con importantes restricciones sobre los usos de los datos biométricos.

IBM resalta la necesidad de una regulación específica para cada uso de este tipo de tecnologías y, para ello, es necesario que se tenga en cuenta tanto a los s finales como la finalidad que va a tener el sistema de reconocimiento biométrico. Es fundamental realizar esta diferenciación, debido a que no se debe regular igual aquellos sistemas de reconocimiento facial que, por ejemplo, ayudan a los servicios de atención sanitaria de urgencias a identificar de forma rápida a las víctimas de un desastre natural que los sistemas de reconocimiento incorporados en las cámaras en vehículos policiales.

1. Debe ser preventivo y no correctivo. Es decir, debe realizar un análisis de riesgo antes, durante y después de la implantación del sistema para adelantarse a amenazas potenciales.

2. La privacidad se da por defecto. Esto implica que el no debe proteger activamente sus datos, sino que el sistema los debe proteger al entrar en el sistema.

3. La privacidad debe estar integrada en el diseño en todas las fases, desde la adquisición al procesamiento y en escenarios de conectividad limitada.

4. Debe presentar funcionalidad completa. Esto quiere decir que haya un equilibrio entre seguridad y privacidad sin el compromiso de una o de otra.

5. Ha de poseer seguridad de extremo a extremo en cada paso del sistema.

6. Ha de presentar visibilidad y transparencia.

7. Ha de haber respeto por la privacidad individual.

La seguridad es un concepto instrumental, un medio que hace posible el ejercicio de derechos y libertades. Proteger la libertad de expresión y reunión y los principios de igualdad son algunos de los retos en los que los Estados, garantes de los derechos de su ciudadanía, están centrados en regular para supervisar el uso de los sistemas biométricos, especialmente por parte de los propios entes políticos.

(Puede interesarle: ChatGPT vuelve a funcionar en Italia tras prometer transparencia)

Por tanto, ponemos de manifiesto que, lejos de prohibir una tecnología que tiene aplicaciones beneficiosas para la sociedad, la orientación de esfuerzos legislativos en materia de privacidad se dirige hacia normativas específicas según el empleo de los datos, así como los sectores de aplicación.

La cuestión no se basa en decidir si los individuos deben tener más seguridad y menos privacidad o viceversa, sino en saber identificar los riesgos y las amenazas contemplando los usos y aplicaciones. Esto permite aprovechar los beneficios de los sistemas biométricos en los ámbitos de seguridad, respetando los derechos fundamentales y las libertades públicas, lo que, a su vez, reduciría la inquietud de la ciudadanía.*

Una imagen vale más que mil palabras. A este dicho hay que sumarle que en la sociedad actual, las imágenes se convierten en datos (digitales), y los datos son el nuevo petróleo de la economía.

No podemos olvidarnos tampoco de las cámaras de celulares y computadores frente a las que trabajamos o leemos. Si me permite un consejo, ponga una pegatina delante de ella para evitarle disgustos o problemas en caso de que programas espía puedan acceder a su equipo y activarla sin su consentimiento.

Además, a lo anterior se suma que de una simple foto o video se pueden obtener nuestros rasgos o datos biométricos. Por decirlo de alguna forma, sería como nuestra huella dactilar, pero con los rasgos de, en este caso, la cara. Por ello, la biometría se está convirtiendo en el gran caballo de batalla por nuestra privacidad.

La biometría supone nuevos riesgos y retos. La tecnología nos facilita la vida, nos otorga mayor seguridad en todos los aspectos, pero debemos ser conscientes del riesgo añadido que cada nuevo uso o mejora supone para la pérdida de privacidad e intimidad. Escalones que, dicho sea de paso, una vez subidos, difícilmente volveremos a descender.

Por ello, el empleo o la elección de una tecnología no es una cuestión superficial. Las decisiones deben tomarse tras realizar un estudio sobre la proporcionalidad y necesidad.

Volviendo a la biometría, estamos encontrando nuevos escenarios para su empleo. Sus nuevos usos van desde la seguridad en los aeropuertos a la identificación de los estudiantes en el ámbito educativo en línea para verificar que no existe suplantación de identidad en un examen —la Agencia Española de Protección de Datos (AEPD) ya ha publicado un informe al respecto—.

El último ejemplo es el anuncio de la implantación de esta tecnología por una gran compañía de supermercados española en decenas de sus establecimientos. El objetivo es detectar a personas con sentencias firmes o medidas cautelares que tengan una orden de alejamiento contra la empresa o sus trabajadores que les prohíba entrar a las tiendas.

La decisión de la cadena de tiendas está generando discusiones y dudas. La AEPD ya ha abierto una investigación para comprobar que su sistema de reconocimiento facial cumple las normas. ¿Se pueden tratar nuestros datos biométricos?

Lo primero que hay que decir es que los datos biométricos son datos de carácter personal. Por ello, están regulados y protegidos por la normativa europea de protección de datos de carácter personal, tanto por el Reglamento Europeo de Protección de Datos (RGPD) como por su adaptación española, la Ley orgánica de protección de datos y garantía de derechos digitales (LOPDGDD).

(Le puede interesar: Digitalización y analítica de datos, claves para el futuro empresarial)

Los datos biométricos pueden ser datos básicos (por así decirlo) o datos especialmente protegidos si, como dice el reglamento, los datos biométricos están dirigidos a identificar de manera unívoca a una persona física. Esta distinción no es insignificante. El tratamiento y la tipología de los datos no solo determinará cuál es la legitimación para el procesamiento de estos, sino también las obligaciones y garantías que tendrá que aplicar el responsable de dichos tratamientos.

Si los datos biométricos son considerados como datos de categoría especial, su tratamiento requeriría el consentimiento explícito del .

Si los datos biométricos son considerados como básicos, el responsable del tratamiento podría ampararse en un interés legítimo.

En un principio, la cadena de supermercados parece acogerse a este último supuesto. Sin embargo, no sabemos los detalles del proyecto. Necesitamos conocer el sistema que se va a emplear para saber si quien va a tratar esos datos (ya sean los supermercados, la compañía de seguridad o la universidad) va a procesar datos básicos o especialmente protegidos.

En cualquier caso, antes de implantar un sistema de biometría, los responsables de tratamiento deben realizar lo que se denomina una evaluación de impacto en protección de datos.

El objetivo de este estudio es analizar la necesidad y proporcionalidad del sistema y los riesgos asociados. En definitiva, se trata de una autoevaluación para determinar que el sistema no afecta de forma grave la privacidad de las personas a las que va dirigido y para detectar los riesgos para la seguridad, reputación, privacidad, etc. que puede tener el uso de la tecnología.

Si esa autoevaluación sale negativa, la propia normativa obliga a consultar a la agencia de protección de datos correspondiente a fin de determinar si se puede o no sacar a la luz el sistema.

Tampoco debemos olvidar el aspecto ético de esta tecnología y los problemas asociados en la actualidad a los denominados sesgos de la inteligencia artificial. ¿Qué puede pasar con los falsos positivos? ¿Es tan fiable la tecnología para instalar ya estos sistemas?

Aunque es normal que no queramos renunciar a la facilidad de uso y disfrute que nos proporciona la tecnología, no debemos tirar la toalla sobre la protección de la privacidad ante la multiplicación de sistemas. Nos podríamos encontrar con que hemos permitido una sociedad panóptica perfecta.**

*MICHELLE MADELINE CÁMARA MORA (*) Y CARMEN JORDÁ SANZ (**)

THE CONVERSATION (***)

(*) Profesora del departamento de Criminología y Seguridad de la Universidad Camilo José Cela

(**) Directora del Departamento de Criminología y Seguridad de la Universidad Camilo José Cela.

(***) The Conversation es una organización sin ánimo de lucro que busca compartir ideas y conocimientos académicos con el público. Este artículo es reproducido aquí bajo licencia de Creative Commons.

**JORGE CAMPANILLAS

Profesor de Derecho de las Tecnologías de la Información y Comunicaciones, Universidad Rey Juan Carlos.

The Conversation