Identificación Facial: ¿están protegidos nuestros datos biométricos faciales?
En un mundo donde la tecnología de reconocimiento facial (FRT, por sus siglas en inglés) se expande rápidamente, sus aplicaciones en contextos cotidianos también lo hacen. Por ejemplo, al acceder a una cuenta bancaria a través de un dispositivo móvil, al registrar la asistencia a la oficina o al autenticar nuestra identidad en un aeropuerto. Sin embargo, junto con esta expansión acelerada de su uso, surgen preocupaciones alrededor de la protección de los datos biométricos faciales que proporcionamos (o no) para acceder a diferentes servicios. Entonces, si nuestros datos biométricos faciales se utilizan cada vez con mayor frecuencia, ¿cómo están estos datos siendo protegidos?
Al igual que otros registros biométricos capturados como las huellas dactilares, la retina o iris ocular, las venas de los dedos o incluso el reconocimiento del canal auditivo, el reconocimiento facial es un mecanismo que se utiliza para identificar a una persona y, junto con el reconocimiento de huellas dactilares, actualmente es uno de los mecanismos de identificación más comúnmente utilizados. De hecho, según Deloitte, se espera que el valor de mercado del reconocimiento facial aumente de 3,8 mil millones de dólares en 2020 a 8,5 mil millones en 2025.
¿Cómo se capturan los datos biométricos faciales?
Para que el reconocimiento facial pueda autenticar que somos quienes decimos ser, hay primero una fase de registro dentro para la posterior utilización de esta tecnología. Por ejemplo, al usar la identificación facial en un teléfono, durante la configuración inicial, el celular pedirá un registro de sus datos biométricos, capturando en este caso sus datos faciales. Estos datos se utilizarán posteriormente para autenticaciones futuras, proporcionando acceso no solo al teléfono sino también a aplicaciones que podrían utilizar esta función.
Sin embargo, el reconocimiento facial no se basa únicamente en datos proporcionados voluntariamente para la identificación. Hace algunos años, una controversia importante surgió en torno a una empresa que recopilaba millones de fotos de personas, tomadas de sus publicaciones compartidas en redes sociales, con el objetivo de crear una base de datos que luego sería vendida con fines de identificación. Según The New York Times, es posible que bases de datos de rostros de personas estén siendo generadas sin que estas lo sepan, y estos datos parecen recopilarse no solo de redes sociales y otros sitios web, sino también de cámaras ubicadas en diferentes lugares, como restaurantes, por ejemplo.
Por otro lado, esta misma tecnología se ha vuelto muy importante en áreas como la seguridad ciudadana, siendo una herramienta cada vez más utilizada no solo por los departamentos de policía, sino también en el sector de la justicia por defensores públicos.
¿Cómo se almacenan los datos biométricos faciales y quién tiene acceso a ellos?
Como se mencionó anteriormente, el reconocimiento facial se ha vuelto muy popular para acceder y desbloquear dispositivos móviles. Por ejemplo, el sistema de identificación facial de iOS asegura que “los datos de Face ID, incluidas las representaciones matemáticas de un rostro, están encriptados y protegidos por el Secure Enclave“. El Secure Enclave es un subsistema integrado en los System on Chips (SoCs) de Apple y está aislado del procesador principal para proporcionar una capa adicional de seguridad para datos sensibles. iOS afirma explícitamente que “los datos de Face ID no abandonan su dispositivo y nunca se respaldan en iCloud ni en ningún otro lugar”. Básicamente, solo el propietario del teléfono podría tener acceso y gestionar el uso y permisos de sus datos biométricos.
Sin embargo, en otros casos en donde se recopilan datos biométricos faciales (a veces sin conocimiento previo), es posible que los usuarios no puedan acceder a información sobre cómo estos se almacenan y sus posibles usos.
En 2020, durante una de las controversias sobre la venta de bases de datos faciales y su impacto en los derechos de privacidad de las personas, el senador Edward J. Markey de los Estados Unidos mencionó:
Si se viola su contraseña, puede cambiarla. Si se viola su número de tarjeta de crédito, puede cancelarla. Pero no es posible cambiar la información biométrica, como lo son sus características faciales (traducido del inglés)
Por lo tanto, para proteger los datos biométricos personales de la ciudadana, incluida la “huella facial” tomada de imágenes o videos capturados con o sin su consentimiento, no solo es importante, sino absolutamente necesario asegurar el tratamiento correcto de los datos y establecer límites a su uso. Para ello deben establecer protocolos que garanticen el manejo adecuado de esta información tan sensible, que, en manos equivocadas, podría causar daños importantes.
¿Existe legislación sobre la protección de datos biométricos faciales?
Aunque aún en muchos países no existe legislación que aborde específicamente la protección de datos biométricos, existen algunas iniciativas destinadas a definir reglas para el tratamiento de este tipo de datos. Una de las leyes más importantes en este ámbito es el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea.
El GDPR clasifica la información biométrica (incluida la facial) como una “categoría especial” de datos personales. Por lo tanto, se requiere el cumplimiento del Artículo 9, que, entre otras cosas, enfatiza la necesidad de obtener el consentimiento explícito del titular de los datos para procesar datos biométricos. En 2023, la Junta Europea de Protección de Datos publicó las Directrices sobre el Uso de la Tecnología de Reconocimiento Facial en el Ámbito de la Aplicación de la Ley, como un esfuerzo por proporcionar información relevante a legisladores y autoridades encargadas de hacer cumplir la ley para la implementación y uso de la FRT. Por otro lado, dado que Estados Unidos no tiene una ley federal de protección de datos, el estado de Illinois promulgó una ley de privacidad biométrica en 2008. La Ley de Privacidad de Información Biométrica de Illinois, establece que se debe informar por escrito, al titular de los datos, que se está recopilando o almacenando un identificador biométrico o información biométrica, y así mismo, el titular de la información debe proporcionar autorización expresa para hacerlo. De manera similar, otros estados como Texas y el estado de Washington han desarrollado estatutos de privacidad biométrica.
En 2020, se presentó en el Senado la Ley Nacional de Privacidad de Información Biométrica, como una propuesta para regular este campo a nivel nacional en los EE. UU. Según el sitio web del Congreso de este país, esta propuesta menciona: “Una entidad privada no puede obtener los datos biométricos de un individuo a menos que (1) la entidad necesite los datos para proporcionar un servicio o por un motivo comercial válido, y (2) la entidad informe por escrito al individuo sobre la recopilación y su propósito y reciba una autorización para ello” (traducido del inglés).
En América Latina, varios países han implementado leyes de protección de datos, y han surgido también casos relacionados con su protección. Algunos de estos países desarrollaron sus leyes basadas en el modelo europeo, incluyendo características similares a las determinadas por el GDPR. Por ejemplo, la Ley de Protección de Datos de Ecuador, adoptada en 2021, establece a los datos biométricos como datos sensibles. Por lo tanto, entre otras reglas, determina que su uso y procesamiento también están prohibidos sin la autorización explícita del titular de los datos.
¿Qué se puede hacer para proteger los derechos de las personas?
Es probable que los datos biométricos, incluidos los faciales, continúen expandiendo sus aplicaciones y casos de uso. Por lo tanto, es necesario que todos los países generen normas específicas para regular la forma en que estos datos se capturan, procesan y utilizan. Aunque ya se han desarrollado leyes y protocolos específicos en algunos países, las autoridades deben trabajar en fortalecer sus capacidades institucionales para garantizar la aplicación adecuada de estos marcos legales mediante la promoción de guías especializadas, teniendo en cuenta los rápidos cambios en la tecnología, incluida la inteligencia artificial que utiliza datos biométricos faciales como un insumo en muchas de sus aplicaciones.
Además, es importante que las autoridades consideren trabajar en la regulación de sistemas basados en FRT. Esto, como parte de los esfuerzos para prevenir sesgos, discriminación u otros efectos negativos en los ciudadanos resultante de la aplicación de esta tecnología, como se han visto ya varios casos en todo el mundo.
Un marco regulatorio sólido, junto con una aplicación efectiva de la ley y campañas de concientización alrededor de esta temática, son acciones efectivas que contribuirán con la protección los datos biométricos de la ciudadanía y, con ello, su derecho a la privacidad. Además, estas acciones establecerán un entorno adecuado para fomentar la innovación responsable para el uso y las aplicaciones de la FRT, que de hecho puede ser una herramienta muy poderosa para la innovación y el desarrollo económico, cuando se utiliza adecuadamente.