MENÚ
MALDITA TECNOLOGÍA

¿Qué dice la Ley Europea de Inteligencia Artificial sobre los sistemas que usan datos biométricos? Algunos están completamente prohibidos y otros permitidos bajo ciertas obligaciones

Publicado
Actualizado
Claves
  • La ley de IA de la Unión Europea define ciertos usos prohibidos y otros permitidos para los sistemas que usan datos biométricos según el riesgo que suponen para los derechos fundamentales y la seguridad de las personas
  • Entre los sistemas prohibidos están los de reconocimiento de emociones en el trabajo o estudio, de categorización biométrica para hacer sacar conclusiones sensibles sobre los individuos y de identificación biométrica remota en tiempo real en espacios públicos con fines policiales
  • Los sistemas que se permiten (como los que llevan a cabo la identificación biométrica remota con excepciones, el reconocimiento de emociones con fines de seguridad y médicos) deben cumplir con una serie de obligaciones para mitigar sus peligros
Comparte
Categorías
Datos personales
Legislación
Privacidad
Recursos utilizados
Superpoderes
Fuentes oficiales (comunicados, bases de datos, BOE)

La inteligencia artificial (IA) se puede emplear en sistemas que utilizan datos biométricos, es decir, nuestras características físicas, fisiológicas y conductuales, como la huella dactilar, los patrones de iris o imágenes faciales. Son datos muy sensibles y si se utilizan, por ejemplo, para obtener información sobre nuestro comportamiento o con fines fraudulentos, como la suplantación de identidad, puede implicar riesgos para nuestra privacidad y derechos fundamentales.

La Ley Europea de Inteligencia Artificial (o AI Act), que entró en vigor el 1 de agosto de 2024, contempla los usos de IA y datos biométricos y los regula en base al nivel de riesgo que suponen. Hay algunas prácticas prohibidas, como el reconocimiento de emociones en espacios de trabajo o estudio, la identificación biométrica en tiempo real en espacios públicos con fines policiales y la creación o ampliación de bases de datos de reconocimiento facial con imágenes de internet o CCTV. 

Por otro lado, hay otros sistemas permitidos pero de alto riesgo, que deben cumplir con una serie de obligaciones para reducir sus peligros. Estos son los de identificación biométrica remota (con excepciones), categorización biométrica por atributos y reconocimiento de emociones con fines de seguridad y médicos. El incumplimiento tanto de los sistemas prohibidos como de las obligaciones para los de alto riesgo implica multas millonarias

Los datos biométricos son nuestras características biológicas únicas y están protegidos por la ley

La Ley de IA o AI Act de la Unión Europea define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona”. Ejemplos de ellos pueden ser las huellas dactilares, los patrones del iris o imágenes faciales (como las de los controles del aeropuerto). 

Existen diversos sistemas de inteligencia artificial que utilizan los datos biométricos, como los de identificación (reconocimiento de individuos según sus datos biométricos), categorización (de personas según sus características) y reconocimiento de emociones (infieren emociones o intenciones). 

Es importante saber que los datos biométricos son información altamente sensible y no se pueden modificar. Por lo mismo, están protegidos por la ley, específicamente el artículo 9 del Reglamento General de Protección de Datos (RGPD), y su tratamiento está prohibido a menos que haya un consentimiento expreso

Ahora, también están contemplados en la Ley de Inteligencia Artificial Europea. Esta tiene un enfoque basado en el riesgo, y se definen cuatro niveles de peligrosidad para clasificar los sistemas de IA: inaceptable (completamente prohibidos), alto riesgo, riesgo limitado y riesgo mínimo. Los sistemas que usan datos biométricos no se limitan a solo una de estas categorías, ya que depende del contexto, finalidad, alcance y otros factores.

Hay una excepción general: la seguridad nacional. La AI Act no aplica a los sistemas que se desarrollan únicamente con fines de seguridad nacional, independiente de si lo hace una autoridad pública o empresa privada. La red EDri afirma que esta excepción “introduce una laguna jurídica importante que exime a ciertos sistemas del escrutinio y limita la aplicabilidad de las salvaguardias de los derechos humanos”. Inés Cano, abogada especializada en nuevas tecnologías y maldita que nos ha prestado sus superpoderes, aclara que el desarrollo y uso de estos sistemas igualmente tendrá que cumplir con la Política común de seguridad y defensa de la UE y las leyes de seguridad nacional de cada país. Te lo explicamos aquí.

Prohibido: bases de datos con imágenes de internet o CCTV, reconocimiento de emociones en algunos lugares, categorización biométrica para sacar conclusiones e identificación biométrica remota en tiempo real

Algunos de los usos de IA que incluyen datos biométricos se califican como riesgo inaceptable y están totalmente prohibidos por poner en riesgo los derechos fundamentales y la seguridad de las personas, como se recoge en el artículo 5. Se prohíben los sistemas de IA que: 

  • Creen o amplíen bases de datos de reconocimiento facial gracias a la extracción no selectiva de imágenes faciales de internet o CCTV (videovigilancia), como Clearview AI

  • Infieran las emociones de una persona en los lugares de trabajo y centros educativos, excepto por motivos médicos o de seguridad. 

  • Categoricen biométricamente para inferir o deducir la raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas y vida u orientación sexual de las personas. Aquí hay excepciones si se trata del etiquetado o filtrado de datos biométricos por parte de la policía. 

  • La identificación biométrica remota en tiempo real con fines policiales en espacios de acceso público, excepto si la policía se basa en alguna de estas excepciones: para la búsqueda selectiva de víctimas, prevención de una amenaza o la localización o identificación de una persona sospechosa. 

Sobre las excepciones mencionadas, Elena Gil, doctora en Derecho Digital y Protección de Datos y cofundadora de TechandLaw, sostiene que “no es descabellado que se haya dejado esta puerta abierta en vez de establecer prohibiciones absolutas”, ya que los motivos de seguridad “son los casos típicos de excepciones que hacen que una tecnología o tratamiento esté permitido”. 

Ojo, a pesar de entrar en vigor el 1 de agosto de 2024, las prohibiciones se aplicarán desde el 2 de febrero de 2025 (y el resto de las obligaciones de forma progresiva hasta el 2027). Los operadores que incumplan la prohibición de prácticas de IA de riesgo inaceptable pueden enfrentar multas de hasta 35 millones de euros o el 7% de la facturación total anual mundial si el infractor es una empresa.

Permitido pero de alto riesgo: identificación biométrica remota (con excepciones), categorización biométrica por atributos y reconocimiento de emociones con fines de seguridad y médicos

No todos los sistemas que usan datos biométricos están prohibidos por la Ley de IA. Algunos han caído en la categoría de alto riesgo: sistemas con gran potencial de dañar los derechos fundamentales, seguridad y salud pero que puede mitigarse con la implementación de salvaguardias. Entre estas medidas están los sistemas de gestión de riesgos, de gobernanza de datos y gestión de calidad, además de evaluaciones de impacto sobre los derechos fundamentales, entre otros

Los sistemas que usan datos biométricos considerados de alto riesgo son:

  • La identificación biométrica remota que no se utiliza únicamente para acceder a servicios, desbloquear dispositivos o acceder a instalaciones restringidas.

  • La categorización de individuos por atributos o características sensibles utilizando datos biométricos. Ojo, se diferencia de la práctica prohibida ya que en este caso las personas se categorizan pero no se hacen inferencias sobre ellos, es decir, no se sacan conclusiones como su orientación sexual o raza .

  • El reconocimiento de emociones en ámbitos no prohibidos, como la seguridad y medicina. Para este punto, Gil recalca que su uso debe “estar sujeto a los deberes de transparencia en línea con el RGPD”. 

Eso sí, los sistemas de reconocimiento de emociones y categorización biométrica permitidos deben informar a cualquiera que puede verse expuesto a su uso, excepto cuando son utilizados con fines policiales.

La regulación de los sistemas de alto riesgo comienza el 2 de agosto de 2026. El incumplimiento de las obligaciones de los proveedores implicará multas de hasta 15 millones de euros o, si el infractor es una empresa, de hasta el 3% de su facturación anual mundial. 

Como te explicamos, que ahora exista una Ley de IA no significa que sea la única legislación que regule estas tecnologías. Los modelos, sistemas y herramientas de IA deben seguir cumpliendo con sus obligaciones en materia de propiedad intelectual, protección de datos, responsabilidad y ciberseguridad. “El uso de biometría debe estar también entre los casos permitidos en el artículo 9 del Reglamento General de Protección de Datos (RGPD), que prevé situaciones como que la persona haya prestado su consentimiento”, recuerda Gil. 

En este artículo ha colaborado con sus superpoderes la maldita Elena Gil, doctora en Derecho Digital y Protección de Datos y la maldita Inés Cano, abogada especializada en nuevas tecnologías.

Elena Gil e Inés Cano forman parte de Superpoderosas, un proyecto de Maldita.es que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Primera fecha de publicación de este artículo: 14/08/2024

Glosario
Mándanos tus preguntas
TU KIT DE PRIVACIDAD
Servicios alternativos para tu día a día digital
Canal de Telegram
Hazte maldito, Hazte maldita
Únete y apóyanos en nuestra batalla contra la mentira
Usa tus superpoderes y ayúdanos en esta batalla contra la mentira
Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.