Reconocimiento facial

El uso del reconocimiento facial a través de técnicas de IA se presenta como un tema controvertido cuando se trata de la gestión de datos personales. En una reciente sentencia, el organismo de protección de datos personales británico (la Information Commisioner´s Office -ICO) ha impuesto una multa de casi 9 millones de euros a la compañía ClearView AI por recopilar y usar imágenes de sus ciudadanos con objetivos comerciales.

Hace algunos meses, se anunció que la mencionada compañía había incumplido la legislación británica en materia de protección de datos al procesar información personal de ciudadanos residentes en UK con objetivos no justificados. Como resultado, la ICO propuso sancionar a la compañía con casi 20 millones de euros que finalmente este mes de mayo se han hecho firmes (aunque con un importe económico inferior), manteniendo las obligaciones iniciales impuestas de borrar los datos de todos ciudadanos británicos. ClearView AI es una compañía que recoge datos en forma de imágenes, en principio de fuentes públicas (incluyendo redes sociales), para posteriormente vender sus servicios a terceros para la monitorización y seguimiento de personas relacionando las imágenes almacenadas. De esta manera, a partir de una simple fotografía de una persona, se puede saber, a través de las imágenes en las que aparece, dónde ha podido estar o qué ha podido hacer.

Reconocimiento facial como justificación para otros usos

El uso del reconocimiento facial para objetivos de perfilado comercial, vigilancia o autenticación se ha convertido en un tema de debate con numerosos focos de interés. Por ejemplo, hace algunos meses, el IRS (Internal Revenue Service) norteamericano, su agencia tributaria, decidió desplegar un sistema de autenticación biométrico basado en el reconocimiento facial. El sistema, de la compañía ID.me, casi inmediatamente, fue objeto de recelos por el conflicto de intereses de la compañía en el uso de los datos para otros fines como el perfilado de personas. En particular, se destacaba que las condiciones de uso del sistema no recogían que los datos biométricos registrados podrían ser utilizados para realizar búsquedas masivas.

No en vano, la autenticación biométrica habitualmente se completa bajo un modelo “1-1”, es decir, frente a una imagen registrada previamente del usuario, y no frente al modelo “1-N” que permite la búsqueda en bases de datos de imágenes y que son más propias de servicios de seguridad policial o, por ejemplo, de detección de fraudes. En ningún sitio, la compañía indicaba que los datos de sus usuarios podían ser procesado bajo un modelo “1-N” y por tanto ser objeto de contraste con terceras personas lo que les exponía a problemas de privacidad.

Herramientas de reconocimiento facial

Lo cierto es que la proliferación de herramientas de reconocimiento facial se está convirtiendo en una realidad cada vez más extendida. Los sistemas de autenticación han sido la punta de lanza, aunque no constituyen su único uso. De hecho, los modelos antes mencionados de “1-N” abren posibilidades infinitas en la tecnología.

Reconocimiento facial: autenticación y otros usos

Aun así, se trata de una tecnología que no es infalible. En ocasiones hemos visto como los modelos diseñados por diferentes compañías incorporan sesgos que pueden llevar a la discriminación de ciertas personas cuando son elegidas para una inspección de aduana o para la selección para un puesto de trabajo. Un reciente informe del NIST americano lleva años evaluando la fiabilidad de varios de los modelos y algoritmos diseñados por diferentes compañías y aunque presentan ratios de errores muy pequeños no resultan absolutamente fiables. Las herramientas disponibles en el mercado son numerosas. IProov, Paravision o incluso el servicio en la nube de Amazon, Amazon Recognition, se encuentran entre ellas. Todas permiten un uso de modelo dual (“1-N” y “1-1”) del reconocimiento biométrico, y así lo declaran. En España también existen iniciativas interesantes como FacePhi que ha experimentado un crecimiento muy importante en los últimos años.

En general, debemos admitir que el reconocimiento facial se encuentra cada vez más extendido como mecanismo de autenticación. Aplicaciones como Face ID de Apple o Phone Unlock para Google Pixel forman parte de las posibilidades que tenemos en nuestros teléfonos móviles. Sin embargo, su uso aún no es comparable con las tradicionales contraseñas o las huellas dactilares (por otra parte, basado en técnicas similares de IA).

Efectos colaterales del reconocimiento facial

Bien es cierto que, en paralelo, la tecnología ofrece otras posibilidades como las explotadas por compañías como ClearView AI, y que en ocasiones pueden llegar a poner en tela de juicio la privacidad de las personas; más aún cuando, pasando la vista por encima, dejamos de leer las condiciones de uso de ciertas aplicaciones lúdicas que nos aplican filtros para parecer más guapos, más viejos, más tristes, más sonrientes…

En muchas ocasiones, esas imágenes son empleadas sin nuestro conocimiento (pero con nuestra autorización) por algunas de estas aplicaciones para fines que desconocemos.

Por eso, resulta indispensable pensar en lo que ofrecemos a terceros cuando permitimos que nos tomen una fotografía (sea para nuestra autenticación o para parecer más jóvenes) o, más habitualmente, cuando enviamos una fotocopia de nuestro DNI si nos la solicitan. Sí, nuestro DNI. Pero este tema lo dejamos para otra ocasión.

Autor: Juanjo Galán, Business Strategy en All4Sec