Consideraciones éticas y legales en la implementación de sistemas de reconocimiento facial

Abordamos esta controversial temática desde cuatro puntos clave:

• Contexto y vulnerabilidades de la tecnología de reconocimiento facial.
• El dilema ético del reconocimiento facial como amenaza a las libertades civiles.
• Comparación de marcos regulatorios.
• Casos prácticos y gobernanza: La implementación responsable.

Contexto y vulnerabilidades de la tecnología de reconocimiento facial

Fuente: uss.com.ar

La tecnología de reconocimiento facial se ha consolidado como una herramienta fundamental y altamente controvertida dentro de la seguridad electrónica moderna especialmente en los segmentos de la videovigilancia y del control de acceso. Esta ofrece la promesa de identificar a individuos de manera rápida, automatizada y a distancia, revolucionando la gestión de la seguridad. Sin embargo, esta eficiencia conlleva riesgos sistémicos que desafían los principios de las sociedades abiertas. La pregunta crucial para los legisladores y los directores de seguridad es ¿cómo, bajo qué condiciones y con qué límites debe permitirse su despliegue?

El proceso técnico de la imagen a la plantilla biométrica

El reconocimiento facial es una categoría de software biométrico que ha evolucionado aceleradamente y actualmente utiliza algoritmos de inteligencia artificial (IA) y aprendizaje profundo para identificar o verificar la identidad de una persona a partir de una imagen. El proceso se articula en cuatro etapas fundamentales:

1. Detección: El sistema localiza la presencia de rostros en una imagen o flujo de video, distinguiéndolos de otros objetos del entorno.
2. Análisis y alineación: Se mapean y miden landmarks o puntos de referencia faciales, como la distancia entre los ojos o la forma de los pómulos. La imagen se normaliza simultáneamente para corregir variaciones de escala, pose o iluminación.
3. Extracción de características y creación de plantillas: La información geométrica se transforma en un vector numérico o una cadena de datos, denominada "huella facial" o "plantilla biométrica". Esta es una firma digital única del rostro.
4. Comparación y reconocimiento: Se compara la plantilla recién creada con las plantillas almacenadas en una base de datos.

Este último paso define las dos aplicaciones principales en seguridad electrónica:

• Verificación (Autenticación 1:1): Se compara el rostro presentado con una única plantilla pre-registrada para confirmar una identidad declarada (p. ej., acceso a un centro de datos).
• Identificación (Reconocimiento 1:N): El sistema compara el rostro de una persona desconocida con todas las plantillas de una base de datos para establecer su identidad (p. ej., vigilancia pública para buscar a un sospechoso).

Vulnerabilidades operacionales

Fuente: blog.truora.com

A pesar de su sofisticación, los sistemas de reconocimiento facial presentan fragilidades críticas. Una vulnerabilidad común son los ataques de presentación o Spoofing, donde un atacante engaña al sensor con una réplica del rostro (foto, video o máscara 3D). Para mitigar esto, los sistemas avanzados incorporan "detección de vida" o liveness detection.

Más dañinos o perjudiciales son los ataques de inyección digital, donde el atacante intercepta el canal de comunicación entre la cámara y el servidor, inyectando datos manipulados digitalmente (deepfakes) para eludir la detección de vida en el punto de captura.

El riesgo más grave, sin embargo, es el hackeo de bases de datos biométricas. Este riesgo conduce a una comprensión fundamental que distingue a los datos biométricos de cualquier otra credencial: un rostro es una característica permanente e inmutable. Si una plantilla biométrica es robada, como ocurrió en la filtración de datos de la India, Aadhaar en 2018 (fuente: ZDNet), que expuso la información de millones de ciudadanos, no puede ser "revocada" o "reemplazada". El compromiso de la identidad es, por lo tanto, permanente y de por vida para los afectados, lo que exige un estándar de seguridad exponencialmente más alto para estas bases de datos.

El dilema ético del reconocimiento facial como amenaza a las libertades civiles

Fuente: elpais.com

La implementación de esta tecnología trasciende los riesgos técnicos para plantear dilemas éticos profundos que ponen en tensión derechos humanos esenciales como la privacidad, la igualdad y las libertades de expresión y reunión.

La premisa de que la vigilancia con reconocimiento facial "objetiva" es categóricamente falsa. Los sistemas de reconocimiento facial heredan, codifican y amplifican los sesgos sociales existentes. El sesgo algorítmico se origina principalmente en los conjuntos de datos de entrenamiento, que han estado históricamente compuestos de manera desproporcionada por rostros de hombres de piel clara.

Esto se traduce en tasas de error significativamente más altas para mujeres, personas de piel oscura y miembros de minorías étnicas. Estudios han demostrado que algunos software identifican erróneamente a miembros del congreso de Estados Unidos como criminales, con un impacto desproporcionado en legisladores de color.

Este fenómeno se convierte en un bucle de retroalimentación discriminatorio:

1. Prácticas policiales históricamente sesgadas se centran en comunidades minoritarias.
2. Los datos generados (fotos de archivo, registros de arrestos) son sesgados y se usan para poblar las bases de datos de reconocimiento facial.
3. La tecnología, que ya es menos precisa para estos grupos, produce una tasa exponencialmente mayor de falsos positivos.
4. Estos errores conducen a más interacciones policiales (detenciones erróneas) que generan nuevos datos.
5. Los nuevos datos se reintroducen en el sistema, confirmando el riesgo asociado y reforzando y amplificando el sesgo original.

Así, la tecnologia de reconocimeinto facial pareciera formalizar y escalar la discriminación, legitimando el prejuicio sistémico bajo un "falso velo de neutralidad tecnológica".

Anonimato y el efecto inhibidor 

La implementación generalizada de cámaras con capacidad de reconocimiento facial en el espacio público amenaza con erradicar el anonimato práctico, una condición fundamental en una sociedad libre. Esto crea una especie de cárcel virtual moderna y automatizada. La conciencia de que cada movimiento puede ser registrado e identificado sistemáticamente lleva a la autocensura.

Este temor tiene un efecto inhibidor directo sobre los derechos a la libertad de expresión y reunión. Los ciudadanos pueden optar por evitar la participación en protestas legítimas por temor a ser identificados, añadidos a una base de datos o sufrir represalias. Este miedo no es hipotético, ya que se han documentado casos de uso de uso de esta tecnología por la policía en EE. UU. para identificar y arrestar a manifestantes del movimiento Black Lives Matter.

Fuente: rtve.es

Un ejemplo extremo del potencial coercitivo de esta tecnología es el Sistema de Crédito Social de China, donde determinada red de vigilancia, habilitada con tecnología de reconocimiento facial, monitorea el comportamiento de los ciudadanos. Una baja puntuación de crédito social puede acarrear castigos severos, como la prohibición de comprar billetes de avión o tren, demostrando cómo esta tecnología puede convertirse en la columna vertebral de un sistema de ingeniería social diseñado para imponer la conformidad.

Comparación de marcos regulatorios 

La regulación de la tecnología de reconocimiento facial es un desafío global, con enfoques divergentes que reflejan distintas prioridades entre la seguridad y los derechos fundamentales.

Unión Europea

La UE, con su Reglamento General de Protección de Datos (RGPD), ha adoptado un enfoque más estricto. El RGPD clasifica los datos biométricos como una "categoría especial" o "datos sensibles". Por principio, el tratamiento de estos datos está prohibido, salvo bajo condiciones estrictas, como el consentimiento explícito del interesado o cuando el tratamiento sea necesario por razones de un interés público esencial, que debe estar establecido en la ley y ser proporcional al objetivo. Es obligatorio realizar una evaluación de impacto relativa a la protección de datos para implementaciones a gran escala.

Este marco se refuerza con la nueva Ley de Inteligencia Artificial (AI Act) de la UE, que clasifica la identificación biométrica remota en tiempo real en espacios de acceso público como una práctica de riesgo inadmisible, imponiendo una prohibición general. Solo se permiten excepciones muy limitadas y tasadas, para fines de aplicación de la ley (p. ej., búsqueda de víctimas de delitos graves, prevención de amenazas terroristas), y siempre sujetas a autorización judicial o administrativa previa.

Colombia

Colombia cuenta con la Ley Estatutaria 1581 de 2012, que también define los datos biométricos como "datos sensibles", prohibiendo su tratamiento salvo si existe autorización explícita del titular o si es necesario para salvaguardar un interés vital.

El problema surge al aplicar esta ley a la vigilancia masiva en espacios públicos. En contextos como la instalación de cámaras de reconocimiento facial en el sistema de transporte Transmilenio en Bogotá, resulta logísticamente imposible y legalmente inviable obtener el consentimiento explícito de cada transeúnte. Aunque las autoridades puedan argumentar que el uso para seguridad pública se enmarca en excepciones, esta interpretación choca con el carácter fundamental del derecho a la protección de datos, generando una "zona gris" legal sin una regulación específica que equilibre la seguridad con la protección de la privacidad.

Estados Unidos

Estados Unidos carece de una ley federal integral que regule la privacidad de los datos o el uso de la tecnología de reconocimiento facial, resultando en un mosaico regulatorio fragmentado. La Ley de Privacidad de la Información Biométrica de Illinois (BIPA) es el ejemplo más robusto a nivel estatal, exigiendo consentimiento informado por escrito para la recopilación de identificadores biométricos y otorgando a los ciudadanos un "derecho de acción privada" para demandar violaciones . Ante la inacción federal, ciudades como San Francisco, Oakland y Boston han optado por prohibir o restringir severamente el uso de la TRF por parte de sus agencias gubernamentales.

Casos prácticos y gobernanza: La implementación responsable

Fuente: getmeelo.com

Los casos de estudio ilustran que el despliegue de esta tecnología sin marcos claros conduce a controversias y riesgos.

El uso policial del reconocimiento facial ha resultado en arrestos injustos de individuos, especialmente hombres negros, identificados erróneamente por algoritmos sesgados en Estados Unidos. Además, la tecnología ha sido utilizada para escanear grabaciones de protestas para identificar y arrestar a manifestantes, planteando serias dudas sobre la vigilancia de la actividad política legítima.

En Colombia, la Policía Nacional, en alianza con la Registraduría, ha implementado una aplicación que permite escanear rostros en la vía pública y compararlos con la base de datos de antecedentes judiciales. Aunque esta medida se presenta como un avance en materia de seguridad, organizaciones de la sociedad civil han alertado sobre la falta de regulación, el riesgo de perfilamiento discriminatorio y la posible vigilancia indebida de activistas, todo ello en un contexto de ambigüedad legal.

Un contraste notable se da en el transporte público: mientras Bogotá planea instalar cientos de cámaras con esta capacidad en Transmilenio para combatir el crimen, en São Paulo, Brasil, una demanda civil pública exitosa argumentó que el plan del Metro para recopilar datos de millones de pasajeros violaba la Ley General de Protección de Datos (LGPD) por ser masivo, indiscriminado y desproporcionado.

Mitigación: Estándares técnicos y transparencia

Para una implementación responsable, es crucial establecer un marco de gobernanza que mitigue los riesgos.

1. Estándares técnicos y el rol del NIST: El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, a través de su programa "Face Recognition Vendor Test" (FRVT), realiza evaluaciones independientes que cuantifican la precisión y, crucialmente, el sesgo demográfico de los algoritmos. Las entidades que adquieran tecnologías de reconocimiento facial deben exigir que los algoritmos hayan sido evaluados por el NIST y priorizar aquellos que demuestren las tasas de error diferencial más bajas entre distintos grupos demográficos, garantizando así mayor equidad en el rendimiento.
2. Principios de regulación estricta: Un marco de regulación estricta, como el adoptado por la UE, debe incluir: 
   • Autorización legislativa específica: El uso de la tecnología por parte de agencias gubernamentales debe ser autorizado explícitamente por ley, no sólo por decisión administrativa.
   • Supervisión humana significativa: Se debe prohibir que los algoritmos tomen decisiones autónomas con consecuencias legales. Cada alerta debe ser verificada y validada por un operador humano capacitado antes de cualquier acción.
   • Transparencia y Auditoría Pública: Las agencias deben publicar informes periódicos detallando el uso de la tecnología, las bases de datos utilizadas y las tasas de error desglosadas por datos demográficos.
   • Evaluaciones de Impacto en los Derechos Humanos: Obligatorias antes de cualquier despliegue, para analizar y mitigar los riesgos potenciales para las libertades civiles.
3. Responsabilidad Corporativa (Control de Acceso): Las empresas que implementan reconocimiento facial para control de acceso deben adoptar la "privacidad desde el diseño". Esto requiere la minimización de datos (recolectar solo lo estrictamente necesario), implementar medidas de seguridad robustas (como el cifrado) para proteger las bases de datos biométricas, y obtener un consentimiento informado, específico y genuino del usuario, ofreciendo siempre alternativas no biométricas cuando sea posible.

En conclusión, la tecnología de reconocimiento facial es transformadora. El debate actual no se trata solo de tecnología, sino de la elección social sobre la relación entre el ciudadano y el Estado. Es imperativo asegurar que la innovación tecnológica se utilice para fortalecer los derechos humanos y los valores democráticos, en lugar de desmantelarlos.