Reconocimiento facial: los algoritmos que se quedan con tu cara
Miras tu teléfono para desbloquearlo, y un software de reconocimiento facial te permite tocar un par de botones menos. Es más cómodo. Abres una videollamada con amigos y te pones un filtro que te pone orejas y nariz de perro. Es divertidísimo. Al vigilante de una zona con cámaras donde pasan muchos transeúntes a diario le resulta más conveniente que la máquina coloree en su pantalla en tiempo real a los que tienen algún antecedente en según qué bases de datos. Es innovador. Al dueño de un supermercado que identifica a personas que han cometido delitos y les prohíbe la entrada en su negocio le parece efectivo. Suena moderno.
El problema es que los dos últimos casos van contra la ley, no cuentan con la voluntariedad de los sujetos y ponen en riesgo libertades y derechos de todos. Y además los sistemas de reconocimiento facial no son fiables ni efectivos. Su uso continúa extendiéndose, entre casos legítimos y otros dudosamente legales, a pesar de los peligros que plantea y de la confirmación de sus sesgos.
Señas que nos hacen únicos (o qué es la biometría)
La biometría consiste en la toma de medidas estandarizadas de seres vivos. Se le llama así al estudio con el fin de identificar inequívocamente a personas a través de rasgos físicos, fisiológicos o conductuales.
Ejemplos de datos biométricos son las imágenes faciales, el ADN, las huellas digitales, imágenes del iris y la retina u otros más nuevos como registros de voz o la huella digital de navegación, es decir cómo navegamos en internet.
Los sistemas de reconocimiento facial son los sistemas biométricos más utilizados desde hace años. Facebook comenzó a hacerlo de forma automática en 2010 cuando etiquetaba a personas en las fotos que se subían a la plataforma utilizando un sistema de sugerencias de nombres. Para muchos fue el primer acercamiento a la tecnología de reconocimiento facial y no necesariamente pudieron reflexionar sobre ello.
Hay una razón por la que la intimidad y la privacidad son derechos fundamentales. Cuando nos sabemos observados, nuestro comportamiento cambia
No se preguntaba explícitamente a los usuarios si querían que estuviese activada y la controversia terminó en una demanda colectiva que empezó en los juzgados de Illinois (Estados Unidos) y terminó muchos años después, con la Corte Suprema de ese país castigando con una multa a Facebook. Desde hace unos años, la plataforma ha renombrado esta herramienta, llamándola “Reconocimiento facial”, y pide consentimiento expreso a los usuarios que quieran activarla.
Para funcionar, un sistema de reconocimiento facial necesita una cámara que genere imágenes con una calidad suficiente, y un algoritmo que detecte patrones en las mismas. Estos algoritmos se entrenan mediante técnicas de Machine Learning utilizando bases de imágenes.
Alessandra Gorla, doctora en Informática, investiga sobre ingeniería del software en el IMDEA Software Institute, y explica a Newtral.es que “en la actualidad es algo que se puede hacer de manera sencilla, porque hay muchas herramientas que ya se pueden utilizar, pero lo crítico es cómo se utilizan” cuando se hace el entrenamiento del software, que suele arrojar resultados sesgados. “Diría que es fácil montar una herramienta, porque hay muchos recursos, pero hacerlo bien no es fácil, por el problema de los sesgos”.
El objetivo del reconocimiento facial, que es distinguir unívocamente una cara de otras, puede operar básicamente de dos formas.
- Una se refiere a la llamada verificación o autenticación, es la que sucede cuando desbloqueamos el teléfono, o utilizamos una cámara para identificarnos ante alguna empresa, servicio o dispositivo que no guardan copia de nuestra foto. La identificación es 1:1, porque la foto que tomamos se compara sólo con una foto nuestra guardada localmente en nuestro móvil.
- Es diferente del reconocimiento facial que se llama identificación o reconocimiento de caras, donde la imagen de un rostro desconocido se cruza con una base de imágenes de caras conocidas para determinar su identidad. Ya no es 1:1, sino 1:n, donde N es el número de registros que haya en esa base de datos. Y esta forma es la que presenta problemas éticos, legales y de derechos humanos.
Por qué el reconocimiento facial es polémico
Hay una razón por la que la intimidad y la privacidad son derechos fundamentales. Cuando nos sabemos observados, nuestro comportamiento cambia. Este aspecto de la conducta humana se llama efecto Hawthorne y es muy conocido por los investigadores sociales, que deben cuidar que no fastidie sus experimentos cuando hay personas como sujetos de estudio.
Dependiendo del tipo de experimento puede cambiar hacia resultados más o menos positivos, pero lo cierto es que la privacidad y la libertad están íntimamente relacionadas.
Como ha escrito el experto en seguridad Bruce Schneier, “todo progreso social, desde el fin de la esclavitud hasta la lucha de los derechos de las mujeres, comenzó con ideas que eran en un sentido bastante literal, peligrosas de sostener. Sin la posibilidad de desarrollarlas, discutirlas y finalmente actuar sobre esas definiciones, nuestra sociedad no hubiera podido extender sus valores democráticos en la manera en que lo ha hecho”.
“El uso de sistemas de vigilancia biométricos crea una dinámica en la que los poderosos observan y quienes no tienen poder son observados”, sostiene European Digital Rights (EDRi), una agrupación internacional de 44 organizaciones a favor de los derechos civiles sin fines de lucro, que acaba de lanzar una campaña donde denuncian que al menos 15 países europeos ha experimentado con tecnología de este tipo en espacios públicos, con prácticas que derivan en vigilancia masiva.
El estudio está fechado en mayo de 2020 antes de que se declarara la pandemia, y los investigadores consideran que sus hallazgos son igual o más relevantes aún en esta situación. El informe muestra cómo las diversas implementaciones de sistemas que utilizan procesamiento biométrico no se encuentran dentro de los requerimientos legales de necesidad o proporcionalidad para justificar el nivel de vulneración de derechos que generan.
Diego Naranjo, abogado y jefe de Políticas de EDRi, explica que “al final no es un asunto de privacidad, ni de datos biométricos, esto va sobre la libertad de reunión y de manifestación. Es que cuando seas una mujer en Polonia y quieras abortar y hayas ido a alguna protesta y haya un gobierno ultraderechista te va a investigar y te va a ir a buscar después. Esto es para investigar a los malos, pero los malos cambian cuando cambian los gobiernos”.
Sesgados y no fiables
Uno de los grandes problemas de los algoritmos de reconocimiento facial son los sesgos racistas o sexistas que tienen, provocados por el tipo de bases de datos con las que se alimenta a la inteligencia artificial.
En 2018, Joy Buolamwini y Timnit Gebru publicaron un artículo [PDF] que mostraba cómo las tecnologías de procesamiento de datos faciales están sesgadas contra las personas negras, en particular mujeres. Ese y otros estudios provocaron una cadena de demandas que hicieron que algunas grandes compañías tecnológicas abandonen o suspendan sus proyectos en este campo.
A otro nivel estas tecnologías se han puesto de moda. Gorla dice que en la actualidad los campos del Machine Learning y la biometría resultan muy interesantes, tanto para el ámbito académico como para la industria, y que por lo tanto hay mucha gente trabajando en ellos. La tendencia y el entusiasmo por estas tecnologías no se corresponden con la fiabilidad que prometen. El mismo Instituto Nacional de Ciberseguridad (INCIBE) advierte en su web que las aplicaciones prácticas de la biometría son muy diversas, pero que en el campo de la seguridad no son tan robustas como pudiese parecer a priori.
Javier Sánchez-Monedero es doctor en Ciencias de la Computación y como investigador asociado a la Cardiff’s School of Journalism ha participado en Data Justice, un proyecto que estudia la dataficación en relación a la justicia social, donde ha auditado sistemas de datos biométricos. Cuando le pregunto por lo que ha aprendido allí, dice que veía que el marco predominante era el enfoque de la precisión del método o la privacidad, pero que “una misma tecnología depende de las relaciones de poder. El tener nuestra huella dactilar, para nosotros como ciudadanos europeos no tiene las mismas repercusiones que para un ciudadano no europeo, porque el grado de control sobre unos y otros es diferente”.
También dice que lo otro que le ha sorprendido es que cuando empezó a trabajar no pensaba que iba a emplear tanto tiempo en comprobar si los sistemas biométricos funcionaban o no. “Resulta que la mitad de las cosas que he tenido que auditar no funcionan, pero eso no quita que se estén usando”, señala.
Sánchez-Monedero dice que desde la UE se ha puesto interés en utilizar identificación biométrica, y en las convocatorias empezaron a salir propuestas increíbles, como la del detector de mentiras que se suponía que podía identificar a un mentiroso por la temperatura de su nariz. “Estos mismos sacaron un artículo por San Valentín el año pasado diciendo que también podían identificar el amor verdadero por la nariz. Increíble”, dice sonriendo.
Los sistemas no son fiables, según Sánchez-Monedero, y señala varios casos (AVATAR en Hungría para entrevistar a migrantes; el proyecto de la Universidad de Bradford y QuinetiQ para buscar defraudadores en ayudas sociales; e iBorderCtrl) en los que a pesar de que países de la UE o la propia Comisión Europea financian programas piloto, eventualmente casi nunca encontramos información sobre los resultados prácticos.
Qué dice la ley sobre el reconocimiento facial y tecnologías similares
La vigilancia masiva está prohibida en Europa. Ha sido definida por el Consejo de Europa como cualquier forma de monitorización que no se realiza de forma dirigida hacia un individuo específico, y la Agencia de los Derechos Fundamentales de la Unión Europea (Fundamental Rights Agency) ha señalado que “un uso generalizado de estas tecnologías suele empezar con sospechas previas”.
En la práctica, señala el estudio de EDRi, las medidas de vigilancia de masas impactan desproporcionadamente a los grupos que ya carecen de privacidad, como migrantes, comunidades pobres o racializadas, lo que puede incrementar la discriminación sistémica contra ellos.
El reconocimiento facial como tal no está prohibido, pero al implicar datos personales y biométricos como la cara de una persona, debe cumplir ciertos justificativos para que su uso esté dentro de las normativas europeas que regulan la privacidad y los datos personales, como la Carta de los Derechos Fundamentales de la UE, el Reglamento General de Protección de Datos (GDPR) y la directiva 2016/680 de tratamiento de datos personales por parte de las autoridades competentes.
Lo que denuncia EDRi es que esto no está sucediendo en la práctica y por eso piden una prohibición expresa de la vigilancia masiva con datos biométricos en toda la UE, con una ley separada. El estudio ha analizado casos en República Checa, Dinamarca, Francia, Alemania, Grecia, Hungría, Italia, Países Bajos, Polonia, Rumanía, Serbia, Eslovenia, Suecia, Suiza y Reino Unido. En estos 15 países, ya por parte de los gobiernos y autoridades públicas como escuelas o ayuntamientos, o por actores privados, como empresas, la ley no se cumple.
Naranjo explica que no todas las prácticas son problemáticas. El uso 1:1, cuando usamos el móvil para autenticarnos, o el pasaporte biométrico en el aeropuerto, no implican trasvase de datos, y su uso es voluntario. “Lo que estamos encontrando mucho son dispositivos que hay por las calles en Francia, Suecia, Serbia, cámaras que hay en todo el mundo, siempre claro por nuestro bien, pero lo que hacen es identificar a todo el mundo todo el tiempo, de forma indiscriminada y también por entidades privadas”.
Cita el caso del aeropuerto de Bruselas, donde se estuvo haciendo reconocimiento facial durante 6 años sin haber hecho ningún tipo de informe de impacto, como exige el RGPD. “Se suele hacer así, lo hacen, se desarrolla, se pone en la calle y si alguien se queja, ya veremos, esa es la práctica a día de hoy, en la mayor parte de casos que hemos monitorizado nosotros al menos”, dice.
José R. Agustina, catedrático acreditado de Derecho penal en la Universidad de Barcelona, dijo a Newtral. es en una ocasión que ha habido en los últimos años un renombramiento y las cámaras de videovigilancia han pasado a llamarse ‘de seguridad’. “El matiz es importante”, añadió.
Entre los 15 países estudiados en el informe de EDRi no está España aún. Naranjo afirma que siguen investigando el tema y están analizando casos en nuestro país, como el del tratamiento de datos biométricos en supermercados de Mercadona en varias ciudades y el sistema de reconocimiento facial de la Estación de Mendez Álvaro, en Madrid.
La Agencia Española de Protección de Datos está en fase de actuaciones de investigación en el caso de Mercadona y no tiene ninguna investigación abierta al respecto de la vigilancia en la Estación Sur de Mendez Álvaro, según indican a Newtral.es.
Glosario mínimo
Dato biométrico: Dato personal resultante del procesamiento técnico específico relacionado a las características físicas, fisiológicas o conductuales de una persona natural, que pueden permitir o confirmar la identificación única de esa persona, como imágenes faciales o datos dactiloscópicos, según el RGPD, art. 4(14)
Espacio público: área o espacio abierto y accesible a todas las personas, sin importar sexo, raza, etnia, edad o nivel socioeconómico, según UNESCO. En el siglo XXI se empiezan a considerar como tales los espacios virtuales accesibles a través de internet como un nuevo tipo de espacio público en el que se desarrollan interacciones sociales. Organizaciones civiles como EDRI los consideran parte importante del debate cívico y la participación pública en democracia.
Identificación: Distinguir a una persona en un set más grande de individuos.
Profiling o perfilado: Cualquier forma de procesamiento automatizado de datos personales que consista en el uso de esos datos para evaluar aspectos relacionados a una persona natural, en particular para analizar o predecir aspectos concernientes a su actuación en el trabajo, su situación económica, su salud, preferencias o intereses personales, fiabilidad, comportamientos, localización o movimientos de esa persona, según el art. 4(4) del RGPD.
Procesamiento biométrico: Hay muchos tipos: reconocimiento, identificación, autenticación, detección u otros términos relacionados. También algunas formas (con frecuencia opacas) de recolección y almacenamiento aún si los datos no son inmediatamente procesados.
Reconocimiento facial: Es un tipo de procesamiento biométrico. Es el procesamiento automático de imágenes digitales que contienen las caras de individuos para identificar, autenticar, verificar o categorizar a esos individuos, sin que los individuos en cuestión hayan consentido o tengan conocimiento de su uso, según el grupo de trabajo del Artículo 29 (un grupo de trabajo independiente del European Data Protection Board)
Vigilancia masiva: Cualquier tipo de monitorización, rastreo o procesamiento de datos personales de individuos de manera indiscriminada o general, o de grupos, o que no se hace de manera dirigida hacia un individuo particular.
Fuentes
- Alessandra Gorla, investigadora del IMDEA Software Institute
- Diego Naranjo, abogado y jefe de Políticas de EDRi
- Javier Sánchez-Monedero, doctor en Ciencias de la Computación
- Agencia Española de Protección de Datos
- Ban Biometric Mass Surveillance – Report from European Digital Rights [PDF]
- Joy Buolamwini, Timnit Gebru. Gender Shades: Intersectional Accuracy Disparities in Commercial Gender Classification [PDF]
- Carta de los Derechos Fundamentales de la UE
- Reglamento General de Protección de Datos (GDPR)
- Directiva europea 2016/680 de tratamiento de datos personales por parte de las autoridades competentes
Foto: Steven Lilley CC BY-SA