Ana Marzo. Equipo Marzo. Auditores y Abogados de Nuevas Tecnologías
Los sistemas biométricos son muy habituales hoy en día en cualquier aplicación de seguridad y nadie duda de que estos ofrecen una tecnología si no indispensable, sí fundamental para proteger a personas e instalaciones, así como para acelerar la búsqueda de la información en otro tipo de aplicaciones domóticas, empresariales, financieras o de otro tipo.
Estos sistemas de biometría se definen por la toma de datos de personas con el objetivo de llevar a cabo un reconocimiento inequívoco, aplicando de manera automática una serie de técnicas sobre los rasgos físicos o de conducta propios de cada persona. Pero, ¿acompaña la legislación al avance de la técnica de los sistemas de biometría? Claramente la respuesta, como ya viene siendo habitual cuando se trata de tecnología y datos personales, es negativa.
La situación en que nos encontramos actualmente podría decirse que es de total inseguridad jurídica y las razones no son otras que la peculiaridad de la materia a tratar, la diversidad de autoridades y “voces” que emiten su opinión y doctrina sobre dicha materia y el imparable avance de la tecnología cada vez más sofisticada e intrusiva con la privacidad de las personas.
Europa debate mientras la industria mundial sigue abriendo mercado en todos los sectores y la tecnología “se cuela” en todos los ámbitos de nuestras vidas, en la sociedad, en la administración y en la empresa. La digitalización ha hecho posible la “economía de los datos” y las aplicaciones que los tratan han puesto los cimientos para el siguiente escalón: la Inteligencia Artificial (IA).
Marco regulatorio: biometría
En un limbo legal en cuanto al marco regulatorio completo que se aplica al uso de los sistemas biométricos en materia de privacidad, la utilización de aplicaciones de IA para la identificación biométrica viene siendo cada vez más frecuente.
Esto mantiene en vilo a las autoridades de control de toda Europa, que en ocasiones, lejos de mantener criterios comunes nos abruman con discrecionales resoluciones bajo el lema de “en caso de duda la interpretación más favorable”, debe superar los juicios de “idoneidad, necesidad y proporcionalidad en sentido estricto”, “una norma con rango de ley no es suficiente”, “no se justifica la necesidad del tratamiento”, “no cabe confundir necesidad con conveniencia”, “la regulación actual es insuficiente” o el uso de esta tecnología debe considerarse “el último recurso”.
No nos engañemos. Si con la protección de datos todavía no hemos solucionado los problemas legales que la globalización y la tecnología nos plantea, con los sistemas biométricos y la IA Europa no va a caminar mejor.
El Libro Blanco sobre la inteligencia artificial – un enfoque europeo orientado a la excelencia y la confianza explica que la recopilación y el uso datos biométricos para la identificación remota entraña riesgos específicos para los derechos fundamentales, y concluye que a fin de abordar las posibles preocupaciones sociales con relación al uso de la IA y con el objetivo de evitar la fragmentación del mercado interior, la Comisión abrirá un debate europeo sobre las circunstancias específicas, si las hubiera, que puedan justificar dicho uso, así como sobre las garantías comunes.
La propuesta de reglamento del parlamento europeo y del consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inteligencia artificial) contempla una serie de prácticas IA prohibidas entre las que incluye el uso de sistemas de identificación de biometría remota «en tiempo real» en espacios de acceso público con fines de aplicación de la ley, con determinadas excepciones, y además propone restricciones y salvaguardias específicas en relación con determinados usos de los sistemas de identificación biométrica remota, y plantea un escenario de tecnologías y sistemas de «alto riesgo» para la salud y la seguridad o los derechos fundamentales de las personas, los cuales tendrán que cumplir una serie de requisitos horizontales obligatorios y procedimientos de homologación para ser fiables antes de poder introducirse en el mercado de la Unión.
En la Opinión conjunta 5/2021 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) piden una prohibición general de cualquier uso de IA para un reconocimiento automático de las características humanas en espacios de acceso público – como de caras pero también de huellas dactilares, ADN, voz, pulsaciones de teclas y otras señales biométricas o de comportamiento- en cualquier contexto, y consideran que el uso de IA para inferir las emociones de una persona física es altamente indeseable y debería prohibirse.
El EDPB y el SEPD consideran que queda mucho trabajo por hacer hasta que la propuesta de regulación de la IA pueda dar lugar a un marco legal que funcione bien y que complemente de manera eficiente el RGPD en la protección de los derechos humanos básicos a la par que se fomenta la innovación.
Finalmente, en su 31.ª sesión plenaria el CEPD dio respuesta al Parlamento Europeo sobre el uso de Inteligencia Artificial (IA) por parte de las fuerzas y cuerpos de seguridad, en concreto sobre el uso de Clearview AI explicando que alberga dudas respecto a si la legislación de la Unión o de los Estados miembros proporciona un fundamento jurídico para utilizar un servicio como el ofrecido por Clearview AI y, por lo tanto y en consecuencia, en su estado actual y sin perjuicio de cualquier investigación futura o pendiente, no puede determinarse la licitud de dicho uso por parte de las fuerzas y cuerpos de seguridad de la Unión Europea.
Así pues, y sin perjuicio de un análisis ulterior sobre la base de los elementos adicionales aportados, el CEPD considera que el uso de un servicio como Clearview AI por parte de las fuerzas y cuerpos de seguridad en la Unión Europea probablemente no sería, en su estado actual, conforme con el régimen de protección de datos de la UE.
Llegados a este punto parece difícil añadir al panorama descrito alguna consideración que pueda aclarar la situación jurídica existente hasta el momento en el uso de IA aplicada a sistemas biométricos, por lo cual y entretanto las autoridades y los reguladores se ponen de acuerdo, dejaremos a la imaginación del lector valorar hacia dónde camina Europa.
