Seguramente has oído hablar del reconocimiento facial recientemente, por el llamado “caso Mercadona” o porque la UE ha prohibido su uso libre en espacios públicos, ¿pero sabes qué es el reconocimiento facial? ¿qué datos recoge? Y lo más importante, ¿estamos seguros con la normativa actual?

¿Qué es el reconocimiento facial?

Aunque parezca algo novedoso, el reconocimiento facial nació en la década de 1960 cuando el matemático Woodrow Wilson Bledsoe desarrolló un sistema que podía clasificar fotos de rostros utilizando una tableta RAND, es decir, un dispositivo con coordenadas horizontales y verticales en una cuadrícula, con un lápiz óptico que emitía pulsos electromagnéticos para leerlo. El sistema podía usarse para registrar manualmente las ubicaciones de las coordenadas de varias características faciales, como los ojos, la nariz, la línea del cabello y la boca. Estas métricas se insertaban después en una base de datos, y cuando el sistema recibía una nueva fotografía de un individuo, era capaz de recuperar la imagen de la base de datos que más se parecía a esa persona.

Con el paso del tiempo, la tecnología y los avances científicos fueron mejorando el reconocimiento facial, y actualmente es un software biométrico que mapea matemáticamente las características faciales de un individuo y almacena los datos como una huella. Este software utiliza algoritmos de aprendizaje profundo para comparar una imagen con la huella facial almacenada y verificar así la identidad de un individuo.

A partir de 2010, Facebook comenzó a implementarlo para identificar a las personas que aparecen en las fotos que sus usuarios suben a diario a sus perfiles. Se generaron muchos artículos avisando del riesgo para la privacidad y el tema fue muy controvertido para todos, salvo para los propios usuarios de Facebook que, en general, no pareció importarles. Al no tener un impacto negativo, más de 350 millones de fotos se cargan y etiquetan mediante el reconocimiento facial cada día en Facebook, y a partir de ahí, el sistema se ha ido insertando cada vez más en nuestras vidas.

Solo un año después, en 2011, se instaló el reconocimiento facial en las cámaras del aeropuerto de Panamá, y también fue la tecnología usada para identificar a Bin Laden tras la redada de Estados Unidos. Han pasado 10 años y ahora nos podemos encontrar el reconocimiento facial en cualquier sitio, se utiliza para controlar el acceso a un lugar, para pagar, para desbloquear el móvil, iniciar sesión en distintas aplicaciones, etc.

¿Cuáles son los peligros de los sistemas de reconocimiento facial?

Mientras el uso del reconocimiento facial se fue extendiendo, esas voces que alertaban sobre los peligros de esta tecnología no permanecieron calladas. En Mayo de 2019, San Francisco se convirtió en la primera ciudad de Estados Unidos en prohibir el uso del reconocimiento facial por parte de la administración local y de la policía. Meses después, la prohibición se extendió a toda California. ¿Por qué?

Como habréis podido deducir, el software de reconocimiento facial utiliza datos biométricos, que son datos sensibles especialmente protegidos por el RGPD y la LOPD, y para los que se requiere el consentimiento del usuario u otra legitimación jurídica válida (por ejemplo, motivos de interés público). Estos datos podrían quedar expuestos ante una brecha de seguridad, o un ciberataque, tan habitual en nuestros días.

Pero eso no es todo.

Nadie ha explicado tampoco de dónde salen las imágenes que nutren esas bases de datos con las que las cámaras comparan nuestro rostro, y siempre queda la duda de cuál es el motivo real de su uso. ¿Qué es lo que se va a hacer con nuestros datos? ¿La inteligencia artificial se utilizará solo para luchar contra la delincuencia, o los gobiernos, instituciones y hasta empresas privadas lo usarán para vigilar y controlar a la población?

Y esa duda, es el motivo principal por el cual es necesaria una normativa específica que controle esta tecnología. Con un mal uso, podría servir para detectar a personas de baja médica que no se encuentran guardando reposo, o para que una compañía controle si sus empleados están efectivamente trabajando. Y esto sería intromisión en la vida privada de las personas, al igual que su instalación en cámaras de vigilancia públicas donde se haría un uso masivo de nuestros datos y podrían tenernos localizados 24/7.

Además, la tecnología aún no es 100% fiable. Son varios los casos de compañías que han tenido que retirar su software porque sólo es capaz de detectar correctamente rostros de personas blancas en condiciones de luz óptimas, y hay organismos que ya han denunciado que algunos programas tienen un notable sesgo racial: no identifican correctamente caras de personas negras o asiáticas, lo que lleva a confusiones con serias consecuencias legales para estas personas.

Regulación

Nuestro país carece de una normativa específica y se atiene a lo que indica la LOPD y el RGPD, que aun siendo muy estrictos, aún dan lugar a distintas interpretaciones sobre qué se puede, y qué no se puede hacer. De hecho, la Agencia Española de Protección de Datos (AEPD) ha tenido que publicar una nota explicativa donde analiza catorce puntos que afectan a la identificación y autenticación biométrica de personas, aplicable a los sistemas de reconocimiento facial.

En Europa, un grupo de expertos en inteligencia artificial de la UE, trabaja desde hace más de un año en adaptar la normativa actual a los retos que supone el uso habitual de esta y otras tecnologías que utilizan datos biométricos, y especialmente, en cómo se puede proteger esta información sensible de los ciudadanos sin coartar el desarrollo tecnológico. Una futura modificación del RGPD podría incluir el consentimiento del ciudadano y una justificación legal para tomar y archivar imágenes del rostro y que las personas sepamos quiénes acceden a nuestras fotografías, y por qué.

El uso del reconocimiento facial automático con cámaras de vigilancia pública, escaneo y análisis biométrico de la cara de cada transeúnte, que permite a las autoridades identificar y rastrear a los ciudadanos sin su conocimiento en países como China, no es compatible con los derechos humanos fundamentales como el derecho a la privacidad y a la libertad de expresión, y su uso parece claramente desproporcionado para la Unión Europea.

Por ello, el pasado 21 de Abril la Comisión Europea aprobó un reglamento que limita el uso de los sistemas de inteligencia artificial de alto riesgo, como el reconocimiento facial. No prohíbe directamente la vigilancia masiva de personas en tiempo real en lugares públicos, pero sí limita su uso a determinadas circunstancias previamente autorizadas por un juez: buscar a un niño desaparecido, prevenir una amenaza terrorista específica e inminente o detectar, localizar, identificar o enjuiciar al sospechoso de un delito grave. De esta manera, Europa quiere permitir que se utilice el reconocimiento facial pero solo bajo orden judicial, nunca como rutina ya que sería una amenaza para la privacidad de las personas.

Para quienes incumplan la normativa, el reglamento prevé multas de hasta un máximo de 30 millones de euros o el 6% de los ingresos anuales de una empresa, en función de cuál de los dos criterios sea el más elevado, y se aplicará a todos los proveedores o usuarios dentro y fuera de la UE.

¿Dónde se utiliza el reconocimiento facial en España?

En Madrid, si te das de alta en la web del servicio de transportes, puedes pagar con tu cara en varios autobuses municipales. Al subir al autobús, una cámara te identifica y carga automáticamente el importe del billete en tu cuenta. Aena, también ha instalado en los principales aeropuertos españoles un sistema de identificación biométrica por el cual un viajero se acerca a una cámara y puede acceder al embarque sin necesidad de mostrar su documentación.

En la Estación Sur de Madrid, el IFEMA, y varios salones de juego también se han instalado cámaras de reconocimiento facial para la seguridad de los visitantes y usuarios.

El caso Mercadona

La cadena de supermercados Mercadona, comenzó a usar cámaras de seguridad con reconocimiento facial en Julio del año pasado como prueba en distintos supermercados de Zaragoza, Valencia y Mallorca.

En su política de privacidad recogía: “De igual modo te informamos que, con el fin de mejorar la seguridad de clientes y empleados, MERCADONA, en base al interés público puede tratar su imagen o su perfil facial biométrico para identificar a sujetos con una orden de alejamiento (o medida judicial análoga) en vigor contra MERCADONA o contra cualquiera de sus trabajadores (en aquellas tiendas de España donde está implantado el sistema de detección anticipada). Dicha imagen únicamente se utilizará con esta finalidad y permanecerá en el servidor central únicamente en el proceso de comprobación (esta comprobación dura décimas de segundo). Una vez realizada esta comprobación procederá a ser destruida definitivamente (en aquellas tiendas de España donde está implantado el sistema de detección anticipada)”.

Con la utilización de esas cámaras de reconocimiento facial, Mercadona pretendía localizar a personas con una orden de alejamiento en vigor, del supermercado o de los trabajadores del mismo. Al detectar que una de esas personas accedía al supermercado, se emitía una alerta a la policía.  La compañía alegó que sus sistemas eran capaces de procesar los rostros y la información en 0,3 segundos y que después las imágenes se eliminaban con lo que no incumplía la normativa de protección de datos ya que no hacía un tratamiento de las imágenes. Algo complicado de entender, porque para que el reconocimiento facial funcione esas caras deben ser contrastadas con las almacenadas en una base de datos.

La AEPD entró de oficio a investigar el caso, y aún no se ha pronunciado, pero no ha hecho falta. La Audiencia Provincial de Barcelona ha dictaminado en un reciente auto, que Mercadona no podrá continuar utilizando dichas cámaras porque, aunque el objetivo sea evitar robos y situaciones de inseguridad en sus supermercados, esto no les legitima para realizar cualquier tipo de tratamiento de datos personales, y menos aún, de datos tan sensibles como los rasgos faciales. El tratamiento de los datos biométricos, debe fundamentarse en un interés público esencial y ser proporcional al objetivo que se persigue. En el caso de Mercadona se cuestiona además la legitimación, ya que se considera que no es un interés público sino un interés privado de la propia compañía.

De momento, las empresas y organizaciones que usan estas tecnologías se están rigiendo por la normativa vigente y los códigos de conducta y ética, pero hay determinadas cuestiones que deben de quedar claras y deben ser reguladas en profundidad estableciendo penas o multas acordes a la posible vulneración de los derechos fundamentales de los ciudadanos.

Desde ExpertosLOPD® te ayudamos a resolver tus dudas sobre protección de datos y te adaptamos a la normativa vigente. ¡Contáctanos y te daremos un presupuesto ajustado a tus necesidades!