‘- Escrito por Aurora Agostini, Jessica Giussani y Giorgia Rastelli
El 14 de junio de 2023, el Parlamento Europeo propuso la primera ley europea sobre inteligencia artificial (la «Ley de IA»), la cual, tras la aprobación de la Unión Europea, se espera que entre en vigor a partir del próximo año. Este evento refuerza aún más la posición de Europa como centro de un acalorado debate sobre tecnologías biométricas (también conocidas como biometría), es decir, «todos los procesos automatizados utilizados para reconocer a una persona mediante la cuantificación de características físicas, fisiológicas o conductuales […]».
Dentro de esta categoría también se encuentra el reconocimiento facial, que permite el reconocimiento automático de personas «basado en su rostro con el fin de autenticar o identificarlas».
Cómo funciona el reconocimiento facial
El reconocimiento facial se basa en capturar la imagen del rostro de una persona y extraer sus características únicas para crear una representación digital, conocida como plantilla biométrica, que se almacena en una base de datos. El sistema luego realiza una comparación entre la plantilla obtenida y las ya presentes en la base de datos para verificar posibles coincidencias.
Cabe mencionar que el reconocimiento facial es una tecnología probabilística, lo que significa que las coincidencias se establecen en base a la probabilidad de que la persona «examinada» sea realmente la persona que el sistema busca.
Aplicaciones de la inteligencia artificial
Destacadamente, los sistemas de reconocimiento facial pueden tener dos funcionalidades:
- Autenticación de un sujeto: esta función también se conoce como «verificación uno a uno», ya que la actividad del sistema está dirigida a verificar la identidad del sujeto. De hecho, el sistema compara la plantilla en tiempo real de la persona con la que ya forma parte de la base de datos para verificar si hay una coincidencia entre ambas. Un ejemplo de sistema de autenticación es la función de reconocimiento facial que permite desbloquear un teléfono inteligente.
- Identificación de un sujeto: esta función también se conoce como «verificación uno a muchos», ya que el sistema compara todas las plantillas capturadas en un momento específico con una plantilla específica ya presente en la base de datos. El propósito del sistema es identificar a una persona específica dentro de un grupo de personas o una área geográfica. Un ejemplo de este tipo de sistema es el sistema de reconocimiento facial aprobado para el Estadio Olímpico de Roma, que se suponía permitiría la identificación de delincuentes a quienes se les prohíbe el acceso a lugares públicos como estadios deportivos.
Risks of artificial intelligence
En relación al punto (2.) anteriormente mencionado, la Ley de Inteligencia Artificial (AI Act) prohibiría el uso de sistemas inmediatos de identificación biométrica en espacios de acceso público, sin excepción. Sin embargo, los sistemas remotos aún podrían utilizarse para la persecución de delitos graves y con autorización judicial.
El AI Act establecería un sistema de normas dividido en diferentes niveles de riesgo, estableciendo obligaciones para proveedores y usuarios:
- En la categoría más alta, la de riesgo inaceptable, los sistemas de inteligencia artificial que representen una amenaza para las personas estarán prohibidos. Esto incluye la manipulación cognitiva del comportamiento de individuos o grupos vulnerables, la puntuación social que clasifica a las personas según su comportamiento, nivel socioeconómico y características personales, así como los sistemas de identificación biométrica en tiempo real y remota, como el reconocimiento facial.
- Los sistemas de IA que tienen un impacto negativo en la seguridad o los derechos fundamentales se clasificarán como de alto riesgo. Alto riesgo se refiere a un «riesgo significativo» de daño a la salud, seguridad o derechos fundamentales. En este caso, el AI Act no prohíbe su implementación, pero impone requisitos específicos que deben cumplirse.
- Los sistemas de inteligencia artificial con riesgo limitado deberán cumplir con requisitos mínimos de transparencia para permitir a los usuarios tomar decisiones informadas. Esto incluye los sistemas de IA que generan o manipulan contenido de imágenes, audio o video.
- En el caso de escenarios de bajo riesgo, no se impone ninguna obligación legal.
AI privacidad y seguridad
En cualquier caso, independientemente de la actividad realizada por el sistema, el reconocimiento facial implica el procesamiento de datos personales, en particular, datos biométricos. Cabe señalar que los «datos biométricos con el fin de identificar de manera única a una persona» entran dentro de la definición de «categorías especiales de datos» establecida en el artículo 9 del GDPR, que también garantiza una protección reforzada para este tipo de datos debido a su naturaleza sensible. Por esta razón, la adopción de un sistema de reconocimiento facial requiere necesariamente ser examinada a través del prisma del Reglamento de Protección de Datos número 2016/679 («GDPR») y la Directiva sobre Aplicación de la Ley[1] (“LED”) para establecer si esta tecnología puede ser compatible con los derechos otorgados por los Artículos 7 y 8 del Convenio Europeo de Derechos Humanos («ECHR»), es decir, el derecho al respeto de la vida privada y las comunicaciones y el derecho a la protección de los datos personales.
AI and RGPD
Es importante tener en cuenta que, para que estos sistemas cumplan con el RGPD (o la LED), su adopción debe ser estrictamente necesaria y proporcional para los fines previstos, y justificada por una de las bases legales previstas por el Reglamento. Considerando la naturaleza de los datos involucrados, se podría asumir que obtener el consentimiento sería la forma más segura y fácil de garantizar un procesamiento legal. Sin embargo, esto solo es cierto si el responsable del tratamiento de datos es una empresa privada.
Si el reconocimiento facial es utilizado por una autoridad pública, se requiere una justificación diferente para la actividad de procesamiento, específicamente «los fines de prevención, investigación, detección o enjuiciamiento de delitos penales o la ejecución de sanciones penales, incluida la protección y prevención de amenazas a la seguridad pública». Sin embargo, esto no implica que las actividades de procesamiento puedan llevarse a cabo en cualquier circunstancia sin informar adecuadamente a los sujetos de datos. Hacerlo no solo violaría las regulaciones de protección de datos, sino que también crearía una sensación generalizada de vigilancia constante, lo cual infringiría otros derechos fundamentales como el derecho a la libertad de expresión (Artículo 10 del CEDH) y el derecho a la libertad de asociación (Artículo 11 del CEDH).
Vigilancia AI
Otro aspecto que debe tenerse en cuenta es que el marco legal de protección de datos incluye el derecho de las personas a «no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que le afecten o le afecten significativamente de manera similar» (Artículo 22 del RGPD y Artículo 11 de la LED).
Esta disposición garantiza que las personas tengan derecho a la supervisión humana de la actividad de procesamiento y la posibilidad de optar por no participar en el procesamiento automatizado, permitiendo que sus datos sean evaluados por un ser humano. Esta garantía es particularmente importante debido a dos factores:
- os sistemas de reconocimiento facial manejan datos sensibles.
- la actividad de procesamiento puede dar lugar a la elaboración de perfiles y posibles resultados discriminatorios.
En conclusión, cabe señalar que el marco legal existente sobre el reconocimiento facial pronto experimentará cambios con la próxima implementación del AI Act. Esta nueva regulación adopta una postura más rigurosa hacia las tecnologías de reconocimiento facial al clasificarlas como «Sistemas de Inteligencia Artificial de Alto Riesgo» y establecer requisitos estrictos de conformidad y obligaciones de cumplimiento.
[1]Directiva (UE) 2016/680 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de delitos penales o la ejecución de sanciones penales, y sobre la libre circulación de dichos datos.
