El reconocimiento facial es una tecnología biométrica que permite detectar e identificar un rostro particular en una imagen mediante, el análisis de características del sujeto. Es una tecnología que además emplea habitualmente herramientas de inteligencia artificial (“IA”) y sus usos pueden ser muy variados: desde los más frecuentes como mecanismos de verificación de identidad/autenticación, hasta su uso como sistemas de identificación remota con fines policiales o de seguridad. Su uso se está extendiendo muy rápidamente, al igual que la tecnología que la sustenta, tanto en el sector privado como por parte de autoridades y entidades oficiales, tal y como hemos venido comentando en este blog.
Pese al creciente rol que juega dicha tecnología en nuestras vidas, en la actualidad se encuentra escasamente regulada, en particular a nivel europeo. En la Unión Europea (“UE”), donde si bien existen normas que se aplican a la tecnología biométrica, como la normativa de protección de datos, lo hacen de forma incidental y no directamente. En el caso de España, si bien tampoco existe una regulación específica, nos encontramos con que -al menos en la vertiente relacionada con la protección de datos- hasta ahora la Agencia Española de Protección de Datos (“AEPD”) ha sido conservadora con la biometría, llegando a publicar en 2020 una nota técnica (comentada en este blog) con 14 equívocos al respecto.
Sin embargo, es en Estados Unidos (“EE.UU.”) donde sí que existen determinadas normas que regulan el reconocimiento facial, si bien se suele tratar de normas estatales o aplicables en determinados ámbitos concretos (algunos de ellos comentados en este blog), y no una regulación integral. Además, en EE.UU. existen los estándares impulsados por el NIST (National Institute of Standards and Technology), que sirven como referencia a nivel internacional en esta materia.
No obstante, el creciente incremento exponencial del uso de estas tecnologías está levantando preocupaciones e inquietudes en muchos sectores y grupos, que ven en el uso incontrolado de estas tecnologías un riesgo para los derechos fundamentales, según comenta la Resolución A/HRC/48/31 del Consejo de Derechos Humanos de la ONU.
Es en este contexto donde se aprecia la necesidad de legislar e implementar regulaciones adecuadas para las tecnologías de reconocimiento facial: para evitar los abusos y mitigar sus riesgos. En la actualidad, los cuatro grandes problemas que presenta esta tecnología son: (i) la precisión y el funcionamiento correcto de la tecnología; (ii) la protección de datos y la privacidad (ya que emplea en muchos casos datos particularmente sensibles y susceptibles de impactar significativamente en los derechos y libertades de las personas); (iii) los sesgos de dicha tecnología (a través del Deep Learning y la IA en que se basa); y (iv) su posible uso para vigilancia masiva y vulneración de los derechos humanos.
Para afrontar los retos anteriores, en el ámbito de la UE ha sido publicada recientemente la nueva propuesta de la Comisión Europea para regular el reconocimiento facial (la “Propuesta de Regulación del Reconocimiento Facial”) como parte de la Propuesta de Reglamento (UE) de la Comisión Europea sobre el marco jurídico aplicable a los sistemas de IA, que ya comentamos aquí. En este sentido, la Propuesta de Regulación del Reconocimiento Facial propone clasificar dichos sistemas como: (i) prohibidos; (ii) de alto riesgo; (iii) de riesgo medio/bajo; y (iv) el resto; exigiendo así, requisitos y obligaciones distintas según el uso de esa tecnología en particular.
En este sentido, la regulación propone que mayoría de los posibles usos del reconocimiento facial para asuntos de seguridad estén prohibidos o se califiquen como de alto riesgo, es decir, que sólo se permita su uso en determinados supuestos muy tasados y autorizados explícitamente. Asimismo, también propone considerar de alto riesgo los sistemas de identificación biométricos, por lo que el uso de estos se encontrará sujeto, en todo caso, a una serie de requisitos, restricciones y mecanismos de control para su posible uso.
Por otro lado, en EE.UU., el próximo paso que se plantea es una posible regulación federal. Si bien, a diferencia del caso europeo, no se dispone de ningún tipo de propuesta clara por el momento de cómo podría llegar a ser dicho marco normativo. No obstante, es interesante recalcar que, en algunos casos particulares, la Federal Trade Commission (“FTC”) ya ha actuado contra lo que consideran un uso abusivo -y carente de consentimiento- del reconocimiento facial. Por ejemplo, en el caso Everalbum, los desarrolladores de una app de almacenamiento de imágenes terminaron llegando a un acuerdo con la FTC para evitar sanciones de hasta 43.280$ por cada falta de consentimiento explícito de los usuarios para el uso de reconocimiento facial.
En una línea muy similar, la AEPD considera que la falta de consentimiento explícito por parte de los usuarios puede ser objeto de incluso sanciones muy graves (Art. 6 RGPD), con multas de entre 300.001€ a 20.000.000€ o el 4% de la facturación anual.
Si bien el futuro es incierto, mientras que en el marco de la UE se espera que en el medio plazo se apruebe la regulación integral sobre la IA (incluyendo el reconocimiento facial); en EE.UU. dicha materia no goza de una posición tan prioritaria en la agenda legislativa. Es probable, por tanto, que al igual que ocurrió en el caso del Reglamento General de Protección de Datos, la UE vuelva a ser el agente regulador global: el denominado Efecto Bruselas.
Autores: Mateo García y Claudia Morgado