Nuevos retos para la regulación de la inteligencia artificial en Europa. Especial referencia al reconocimiento facial. A cargo de Laura Gil

AD 147/2021

RESUMEN: La inteligencia artificial aporta una serie de ventajas, pero también suscita una serie de preocupaciones desde el punto de vista de su confrontación con algunos derechos fundamentales, principalmente si nos centramos en cómo afecta el reconocimiento facial a la privacidad de las personas.

Para responder a estos retos, conviene legislar en esta materia para garantizar el correcto funcionamiento del mercado interior de los sistemas de inteligencia artificial, con una ponderación adecuada de los beneficios y de los riesgos.

ABSTRACT:  Artificial intelligence provides a bunch of advantages, but it also raises a series of concerns from the point of view of its confrontation with some fundamental rights, mainly if we focus on how facial recognition affects people’s privacy.

To respond to these challenges, it is appropriated to legislate on this matter to ensure the proper functioning of the internal market for artificial intelligence systems, with an appropriate weighting of benefits and risks.

PALABRAS CLAVE: inteligencia artificial, biometría, reconocimiento facial, derechos fundamentales, riesgo, protección de datos, privacidad, discriminación, Reglamento.

KEY WORDS: artificial intelligence, biometry, facial recognition, fundamental rights, risks, data protection, privacy, discrimination, Regulation.

 

Nuevos retos para la regulación de la inteligencia artificial en Europa. Especial referencia al reconocimiento facial.

 

El propio Parlamento Europeo define la inteligencia artificial (en adelante, IA) como “la habilidad de una máquina de presentar las mismas capacidades que los seres humanos, como el razonamiento, el aprendizaje, la creatividad y la capacidad de planear”. 

La IA impulsa el uso de tecnologías biométricas, que se utilizan con fines de verificación, identificación y categorización.

Lo cierto es que la IA aporta una serie de ventajas y beneficios para nuestra sociedad; desde la mejora de la atención médica a la de la educación, entre otros.

Queda comprobado, por tanto, que a la vez que se está creando un mercado en torno al reconocimiento facial, que se prevé que crezca sustancialmente en los próximos años, el uso de este tipo de tecnología suscita una serie de problemas y complejidades que ha sido y sigue siendo objeto de debate.

Si bien algunos sistemas de IA plantean un riesgo bajo o nulo, otros entrañan peligros que deben abordarse. Por ejemplo, la opacidad de muchos algoritmos puede crear incertidumbre y obstaculizar la aplicación efectiva de la legislación vigente en materia de seguridad y derechos fundamentales.

Para responder a estos retos, se ha hecho necesario legislar para garantizar el correcto funcionamiento del mercado interior de los sistemas de IA, con una ponderación adecuada de los beneficios y de los riesgos.

PROYECTO DE LEY DE INTELIGENCIA ARTIFICIAL. CATEGORÍAS DE RIESGO.

En este contexto, por parte de la Comisión Europea se ha presentado en abril de este mismo año el Proyecto de ley de inteligencia artificial de la UE (en adelante, el Proyecto), cuyo objetivo es regular el uso de sistemas de identificación biométrica, incluido el reconocimiento facial, garantizando la protección de los derechos fundamentales y la seguridad de los usuarios, a fin de que haya confianza en el desarrollo y la adopción de la IA. ·       Ámbito de aplicación El marco jurídico se aplicará a las organizaciones públicas y privadas tanto de dentro como de fuera de la UE en la medida en que el sistema de IA se introduzca en el mercado de la Unión o su uso afecte a personas establecidas en ella. Puede afectar tanto a proveedores como a los usuarios de sistemas de IA de alto riesgo. Sin embargo, no es de aplicación para los usos privados no profesionales.

• Categorías de riesgo

La normativa propuesta es coherente con la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, la Carta) y está en consonancia con los compromisos internacionales de la Unión en materia de comercio. Así, el Proyecto propone un planteamiento basado en cuatro niveles de riesgo:

• Riesgo inadmisible: Se prohibirá un conjunto muy limitado de usos especialmente nocivos de la IA que violen los derechos fundamentales protegidos por la Carta. Por poner algunos ejemplos citados por la propia Comisión, la puntuación social por parte de los Gobiernos, la explotación de los puntos débiles de los niños, el uso de técnicas subliminales y, salvo contadas excepciones, determinados sistemas de identificación biométrica remota en directo en espacios públicos con fines policiales.
• Alto riesgo: Se considera de alto riesgo un número limitado de sistemas de IA definidos en el Proyecto y que tienen un impacto negativo en la seguridad de las personas o en sus derechos fundamentales. El Proyecto incluye un listado de sistemas de IA de alto riesgo, que se irá adaptando a la evolución de los casos de uso de la IA. En cualquier caso, siempre se considerarán de alto riesgo cuando estén sujetos a una evaluación de la conformidad por parte de terceros con arreglo a la legislación sectorial.
• Riesgo limitado: Para determinados sistemas de IA se imponen obligaciones específicas de transparencia, por ejemplo, cuando exista un riesgo claro de manipulación, ya que se considera que los usuarios deben ser conscientes de que están interactuando con una máquina.
• Riesgo mínimo: Todos los demás sistemas de IA pueden desarrollarse y utilizarse con arreglo a la legislación vigente sin obligaciones jurídicas adicionales. La mayoría de los sistemas de IA utilizados actualmente en la UE pertenecen a esta categoría. De forma voluntaria, los proveedores de estos sistemas pueden optar por aplicar los requisitos de una IA digna de confianza y adherirse a códigos de conducta voluntarios.

El Parlamento Europeo y los Estados miembros tendrán que adoptar las propuestas de la Comisión en materia de inteligencia artificial. Una vez adoptadas, los Reglamentos definitivos serán directamente aplicables en toda la UE.

REGULACIÓN DE LA IDENTIFICACIÓN BIOMÉTRICA REMOTA.

Atendiendo a lo anteriormente expuesto y en base a la valoración del riesgo descrito en el Proyecto, todos los sistemas de IA destinados a utilizarse para la identificación biométrica remota de personas se considerarán de alto riesgo y estarán sujetos a evaluaciones de conformidad ex ante y por terceros, incluida la documentación y los requisitos de supervisión desde su diseño.

Concretamente, el uso de la identificación biométrica remota en tiempo real en lugares públicos con fines coercitivos plantea un riesgo especial desde el punto de vista de los derechos fundamentales y más concretamente para el respeto de la vida privada y familiar, la protección de los datos personales y la no discriminación.

Tanto es así que, como se analiza más adelante, su uso está prohibido, salvo algunas excepciones estrictamente definidas, limitadas y reguladas, tales como su empleo por parte de la policía para la búsqueda selectiva de víctimas potenciales específicas de delitos.

No obstante, conviene destacar que todos los sistemas de reconocimiento biométrico estarán siempre sujetos a requisitos concretos de transparencia.

Hace unos días veía la luz un documento publicado por el Parlamento Europeo (ver aquí), el cual destaca cuáles son las principales preocupaciones que plantea el uso de las tecnologías de reconocimiento facial y el posible impacto que tiene en los derechos fundamentales de las personas:

• Características técnicas y precisión tecnológica del reconocimiento facial

La tecnología de reconocimiento facial registra las características del cuerpo humano que una persona no puede cambiar, de hecho, se puede obtener una gran cantidad de imágenes a través de Internet y sobre las mismas capturar imágenes faciales de forma remota y sin que el interesado lo sepa, siendo por otra parte el consentimiento de una persona muy difícil de obtener cuando la tecnología opera en espacios públicos.

Hay estudios que demuestran que la técnica sigue siendo bastante limitada y en la detección de rostros, en ocasiones el software da error.

• Protección de datos y privacidad

El uso de tecnologías de reconocimiento facial implica recopilar, comparar o almacenar imágenes faciales para fines de identificación.

Como ya hemos mencionado, el empleo de tecnologías de reconocimiento facial implica el tratamiento de datos biométricos, a los que se aplica el Reglamento General de Protección de Datos (RGPD), el cual los define como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”; y que los cataloga como categorías especiales de datos al permitir “la identificación o la autenticación unívocas de una persona física” (Considerando 51).

Esta tecnología supone un tratamiento que, en principio, se encuentra prohibido por el RGPD “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física” (artículo 9), a menos que se permita su tratamiento en situaciones específicas contempladas en el mismo RGPD.

El artículo 6 del RGPD establece las seis bases jurídicas por las cuales el tratamiento de datos personales se puede considerar lícito. Las más habituales en una solución de IA son:

• La ejecución de un contrato en el que el interesado es parte, o para la aplicación de medidas precontractuales a petición de este.
• El interés legítimo, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
• El consentimiento de los interesados

Y en ciertos casos más especiales, también pueden ser bases jurídicas:

• Protección de intereses vitales
• Razones de interés público o ejercicio de poderes público
• Cumplimiento de obligaciones legales.

Hay que tener en cuenta que las dos últimas bases han de establecerse vía derecho de la UE o de los Estados miembros, es decir, un responsable no podrá arrogarse razones, por ejemplo, de interés público si no está establecido en una norma del rango apropiado.

Asimismo, una base jurídica no habilita para el uso de los datos para cualquier propósito y en todo momento (principio de limitación del tratamiento), sino que debe restringirse a aquellos fines determinados, explícitos y legítimos que se hayan identificado.

En virtud del principio de información y transparencia (artículos 12 y 13 RGPD), los interesados cuyos datos son tratados, deben ser conscientes de cómo se van a utilizar.

La extinción de una base jurídica de legitimación, como puede ser la retirada del consentimiento, no tiene un efecto retroactivo con relación a los resultados obtenidos en un tratamiento ya realizado.

El responsable del tratamiento deberá mostrar la debida diligencia en la comprobación de la legitimidad de la fuente de datos adquirida.

El principal problema consiste en la dificultad de asegurar el consentimiento explícito para el uso del reconocimiento facial (artículo 22 RGPD).

Preocupaciones por sesgos y discriminación La discriminación en la toma de decisiones algorítmicas puede ocurrir durante el diseño, prueba e implementación de algoritmos utilizados para el reconocimiento facial, a través de sesgos incorporados en el algoritmo en sí, o por la forma en que se obtienen los resultados, algunas veces con errores (falsos positivos / falsos negativos). Se ha comprobado que existen prejuicios de género y raza, especialmente con la precisión de la tecnología de reconocimiento facial que varía significativamente y es menos precisa para las mujeres y las personas de color que para los hombres blancos. El riesgo de trato discriminatorio con respecto a las personas de piel oscura / personas de color es mayor en el contexto de la aplicación de la ley, lo cual interfiere con el artículo 21 de la Carta, que prohíbe cualquier tipo de discriminación.

·       Vigilancia masiva indiscriminada

También preocupa la posible generalización del uso de tecnologías de reconocimiento facial.La posibilidad de extender el uso de los sistemas de reconocimiento facial más allá de su finalidad inicial e introducir nuevas funcionalidades en un sistema existente, conlleva algunos riesgos a medio o largo plazo.Un caso particularmente sensible es el hecho de aumentar el uso de sistemas de identificación biométrica remota en espacios de acceso público (por ejemplo, extender el uso del reconocimiento utilizado para el control de pasaportes en un aeropuerto para usarlo en espacios de acceso público de toda la ciudad). Hay quien opina que dondequiera que esté en funcionamiento un sistema de este tipo, impacta en la privacidad, autonomía y dignidad de quienes se encuentran en sus bases de datos; y en este sentido, por ejemplo, la autoridad de control de protección de datos italiana declaró que el tratamiento automatizado de datos biométricos para tratamientos faciales podría constituir una forma de vigilancia masiva indiscriminada. Además, el uso del reconocimiento facial entra en conflicto con otras libertades civiles, como los derechos de los menores, que merecen un mayor nivel de protección; o la libertad de reunión y asociación u otros aspectos sociales y psicológicos que influyen en el comportamiento de los ciudadanos a raíz del uso de dicha tecnología.

NUEVOS RETOS

Es innegable que el uso de la IA, y especialmente el reconocimiento facial, aportan una serie de beneficios que realmente pueden ayudar a mejorar la seguridad a través de una autenticación más precisa y una mayor seguridad.

Sin embargo, los Estados miembros, comparten en gran medida las mismas preocupaciones en relación con la injerencia que tiene el uso de la IA, y en especial el reconocimiento facial respeto de los derechos fundamentales, especialmente la protección de datos y la no discriminación.En este contexto, los legisladores europeos y de todo el mundo, se enfrentan al desafío de fomentar los usos legítimos del reconocimiento facial, al mismo tiempo que se previene el uso indebido y se protegen los derechos fundamentales de las personas.  Dado que existen una serie de preocupaciones sociales relacionadas con el uso de estas tecnologías impulsadas por IA y el riesgo de fragmentación del mercado interior en caso de que no se tomen medidas, la Comisión propone a través del Proyecto, el cual se encuentra en fase de presentación de enmiendas, prescribir las circunstancias que puedan justificar tal uso y estipular las salvaguardas necesarias en un Reglamento de IA. Con ese fin, el enfoque de la UE a la biometría, y en particular al reconocimiento facial, se basaría en una distinción entre aplicaciones biométricas de ‘alto riesgo’ y ‘bajo riesgo’ que conduce a la aplicación de un régimen legal más o menos estricto.  El enfoque de la IA de la UE parece complementar el ya aplicable, con estrictas normas de protección de datos personales y no discriminación con un nuevo elenco de normas. Parece que la mayoría de los estados parecen estar de acuerdo en esta necesidad de regulación, aunque es cierto que algunos expertos cuestionan la distinción propuesta entre sistemas biométricos de bajo y alto riesgo y advierten que la legislación propuesta permitiría un sistema de normalización y autorregulación sin la debida supervisión pública. Otros, incluso apoyan reglas más estrictas, incluida una prohibición total de tales tecnologías. Habrá que esperar para ver cómo afrontan finalmente los legisladores europeos estos nuevos retos que se plantean en torno a la IA.

Laura Gil

24 de septiembre de 2021

---

BIBLIOGRAFÍA:

• Consultas en la web:

• https://www.europarl.europa.eu/news/es/headlines/society/20200827STO85804/que-es-la-inteligencia-artificial-y-como-se-usa
• https://www.europarl.europa.eu/thinktank/en/document.html?reference=EPRS_IDA(2021)698021
• https://ec.europa.eu/commission/presscorner/detail/es/QANDA_21_1683
• https://www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf

• Legislación:

• Proyecto de ley de inteligencia artificial
• Carta de los Derechos Fundamentales de la Unión Europea
• Reglamento General de Protección de Datos

---

LAURA GIL SANCHIDRIÁN Abogada especialista en protección de datos y nuevas tecnologías.

Abogada especialista en protección de datos y nuevas tecnologías. Graduada en Derecho y Máster de Acceso a la Abogacía por la Universidad de Valladolid (UVA). Máster en Asesoría jurídica y fiscal de empresas por la Escuela de Negocios de la Cámara de Comercio de Valladolid. Actualmente, Responsable del Departamento de Consultoría de Prodat en CyL, donde desempeña labores de consultoría, auditoría, formación y asesoramiento legal en materia de nuevas tecnologías y protección de datos.

LinkedIn: https://www.linkedin.com/in/laura-gil-s/