Volver a página de inicio

Notas sobre el Dictamen 11/2024 del CEPD sobre uso del reconocimiento facial en el flujo de pasajeros en aeropuertos a la luz del Reglamento de Inteligencia Artificial y del RGPD

Razquin Lizarraga, Martín María

LA LEY 20120/2024

1. Acreditación de la identidad real en Accesos Físicos

Bien sea por razones de privacidad, seguridad, evitación de fraude o conveniencia, las personas acreditan su identidad tanto de forma voluntaria o por imperativo legal antes de acceder a determinados espacios físicos.

De los tres factores reconocidos por eIDAS para acreditar identidades, «algo que tienes» (un móvil, una tarjeta), «algo que sabes» (una contraseña) y «algo que eres» (tu cara, tu voz…) es únicamente este último el que garantiza una identidad real por contener el factor de inherencia.

Además de los sistemas manuales que permiten acreditar los factores de inherencia, existen sistemas automáticos que gracias a la utilización de Inteligencia Artificial están consiguiendo mejoras constantes en los ámbitos de seguridad y privacidad.

La reciente aprobación del Reglamento de Inteligencia Artificial (RIA) y la evolución de la tecnología (recogida en normas ISO) comportan que las autoridades de protección de datos puedan completar y complementar sus análisis, guías y recomendaciones.

2. Evolución de los Sistemas Biométricos según ISO 24.745

Information security, cybersecurity and privacy protection —Biometric information protection— https://www.iso.org/standard/75302.html

La reciente revisión, en 2022, de la norma ISO 24.175, recoge la evolución que han tenido las tecnologías de biometría, clarificando muy bien, la diferencia entre:

• a) tecnologías clásicas, basadas en los comúnmente denominados «templates», o BRs (biometric references) como define la citada norma ISO:
  • • BR (biometric reference): «One or more stored biometric samples, biometric templates, or biometric models attributed to a biometric data subject and used as the object of biometric comparison».
• b) tecnologías basadas en IA, que utilizan descripciones asimilables a «hashes» irreversibles, o RBRs (renewable biometric reference) definidas por la ISO como:
  • • RBR (renewable biometric reference): «Renewable identifier that represents an individual or data subject within a domain by means of a protected binary identifier constructed from the capture biometric sample and fulfilling irreversibility requirements».

  De forma adicional, se establecen a lo largo de la norma diferentes características del RBR:

  • • Renovabilidad: «A biometric reference (BR) that can be renewed is referred to as a RBR».
  • • No interoperabilidad: «RBRs are created by means of diversification for different applications, organizations or companies, but are associated with the same subject. Subjects may have multiple RBRs».
  • • Irreversibilidad: «RBRs limit access to the biometric characteristics of the data subject by means of irreversible transforms».

Las autoridades de protección de datos han regulado los sistemas de acceso biométrico basándose en los riesgos inherentes a los BRs, puesto que era la tecnología empleada hace años cuando se analizaron y publicaron guías al respecto (por ejemplo, el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Comité Europeo de Protección de Datos) y están adoptando medidas coherentes con el RGPD para ese tipo de riesgos. Sin embargo, las autoridades de protección de datos no incluyen en sus dictámenes los escenarios en los que se emplean RBRs, de acuerdo a la definición de la ISO 24.745. Así, por ejemplo, el dictamen 11/2024 del CEPD se refiere sólo a los «templates», sin tener en cuenta los RBRs.

3. Reglamento Europeo de Inteligencia Artificial

El nuevo Reglamento Europeo de Inteligencia Artificial aborda esta realidad tecnológica con una regulación basada en riesgos según los usos de la tecnología, que quedan clasificados en las categorías siguientes:

• — Prohibidos
• — De alto riesgo
• — De riesgo sistémico para los sistemas de IA de uso general.
• — De riesgo limitado
• — De bajo o nulo riesgo

La clave para la clasificación de los sistemas de reconocimiento biométrico reside en la capacidad de toma de decisiones por la persona. Las aplicaciones con su «participación activa» (conocimiento y consentimiento y/o activación del sistema) se clasifican como de bajo riesgo. En contraste con ello, la Identificación Biométrica Remota se clasifica como de alto riesgo o bien está prohibida cuando es remota en tiempo real en espacios de acceso público para fines de garantía de cumplimiento del Derecho, salvo excepciones que deben cumplir salvaguardias adicionales.

4. Necesidad de Clarificación y Coordinación

Es absolutamente necesario y urgente adaptar las calificaciones de riesgos a las evoluciones de la tecnología, cuya mayor parte se desarrolla específicamente para su evitación o mitigación. Agilizar estos procesos es clave para reactivar la innovación en un sector mundial, actualmente liderado por empresas europeas, como demuestran los resultados que constantemente son obtenidos por las mismas en las clasificaciones del National Institute of Standards and Technology (NIST) de EEUU, que es el órgano de referencia en materia de tecnologías biométricas.

A partir de la aprobación del RIA, esta clarificación y adaptación constante debe ser coordinada dentro de Europa entre las Autoridades de Inteligencia Artificial y las de Protección de Datos, siendo de clara utilidad el contar con informes constantes de los organismos nacionales competentes en ciberseguridad que más hayan avanzado en sus conocimientos en el estado del arte.

5. Sugerencias para los Reguladores

Entendiendo el estado del arte en tecnologías de reconocimiento de identidades mediante biometría, los reguladores podrían:

• 1. Precisar en sus dictámenes sobre interpretación y regulación cuáles son las soluciones tecnológicas concretas a las que se refieren según estas son catalogadas y denominadas en los estándares de la industria tipo ISO/IEC 24.745, en particular, de acuerdo a la distinción entre BRs y RBRs. Por sus propias características de renovabilidad e irreversibilidad, los RBRs requieren un dictamen expreso y diferente a los BRs, puesto que los riesgos de privacidad inherentes a los BRs se resuelven con los RBRs.
• 2. Adaptar de forma ágil sus funciones a la evolución tecnológica. El mercado va a ser muy reacio a aceptar una solución tecnológica innovadora que disminuya notablemente los riesgos en tanto no sea reconocida como válida por los reguladores.
• 3. Considerar los siguientes aspectos.
  • • Control masivo de la población: Regular el uso de la tecnología en línea con el RIA, prohibiendo o calificando de alto riesgo el uso de estos sistemas sin contar con la participación activa de las personas.
  • • Derecho a la acreditación de la identidad: También en línea con el RIA y con el RGPD, autorizar el uso de estos sistemas cuando cuentan con consentimiento (o con otra base legal suficiente) y en todo caso con participación activa de las personas que han de acreditar su identidad.
  • • Vulnerabilidad a intentos de fraude: Exigir el cumplimiento de estándares de seguridad (ISO 30.107) con certificaciones realizadas por laboratorios acreditados.
  • • Sesgos en la tecnología: Aceptar tecnologías con certificaciones que demuestren sesgos equilibrados entre diferentes grupos y en todo caso más bajos que los de los sistemas a los que complementan o sustituyen.

6. Alcance y Plazos

Los plazos para emitir los nuevos dictámenes deben considerar que el espacio europeo presenta actualmente una gran inseguridad jurídica sobre el uso correcto de soluciones biométricas para acceso físico y esta situación está comprometiendo el liderazgo mundial que las empresas europeas han alcanzado con enorme esfuerzo. Esto tiene, además, un impacto directo sobre las personas ciudadanas europeas, que están viendo limitada o incluso prohibida su posibilidad de emplear sus elementos de inherencia (quienes son) para acreditar su identidad, aunque esas soluciones les aporten mayores beneficios en seguridad, privacidad, accesibilidad y conveniencia.