La inteligencia artificial (IA) se puede emplear en sistemas que utilizan datos biométricos, es decir, nuestras características físicas, fisiológicas y conductuales, como la huella dactilar, los patrones de iris o imágenes faciales. Son datos muy sensibles y si se utilizan, por ejemplo, para obtener información sobre nuestro comportamiento o con fines fraudulentos, como la suplantación de identidad, puede implicar riesgos para nuestra privacidad y derechos fundamentales.
La Ley Europea de Inteligencia Artificial (o AI Act), que entró en vigor el 1 de agosto de 2024, contempla los usos de IA y datos biométricos y los regula en base al nivel de riesgo que suponen. Hay algunas prácticas prohibidas, como el reconocimiento de emociones en espacios de trabajo o estudio, la identificación biométrica en tiempo real en espacios públicos con fines policiales y la creación o ampliación de bases de datos de reconocimiento facial con imágenes de internet o CCTV.
Por otro lado, hay otros sistemas permitidos pero de alto riesgo, que deben cumplir con una serie de obligaciones para reducir sus peligros. Estos son los de identificación biométrica remota (con excepciones), categorización biométrica por atributos y reconocimiento de emociones con fines de seguridad y médicos. El incumplimiento tanto de los sistemas prohibidos como de las obligaciones para los de alto riesgo implica multas millonarias.
Los datos biométricos son nuestras características biológicas únicas y están protegidos por la ley
La Ley de IA o AI Act de la Unión Europea define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona”. Ejemplos de ellos pueden ser las huellas dactilares, los patrones del iris o imágenes faciales (como las de los controles del aeropuerto).
Existen diversos sistemas de inteligencia artificial que utilizan los datos biométricos, como los de identificación (reconocimiento de individuos según sus datos biométricos), categorización (de personas según sus características) y reconocimiento de emociones (infieren emociones o intenciones).
Es importante saber que los datos biométricos son información altamente sensible y no se pueden modificar. Por lo mismo, están protegidos por la ley, específicamente el artículo 9 del Reglamento General de Protección de Datos (RGPD), y su tratamiento está prohibido a menos que haya un consentimiento expreso.
Ahora, también están contemplados en la Ley de Inteligencia Artificial Europea. Esta tiene un enfoque basado en el riesgo, y se definen cuatro niveles de peligrosidad para clasificar los sistemas de IA: inaceptable (completamente prohibidos), alto riesgo, riesgo limitado y riesgo mínimo. Los sistemas que usan datos biométricos no se limitan a solo una de estas categorías, ya que depende del contexto, finalidad, alcance y otros factores.
Hay una excepción general: la seguridad nacional. La AI Act no aplica a los sistemas que se desarrollan únicamente con fines de seguridad nacional, independiente de si lo hace una autoridad pública o empresa privada. La red EDri afirma que esta excepción “introduce una laguna jurídica importante que exime a ciertos sistemas del escrutinio y limita la aplicabilidad de las salvaguardias de los derechos humanos”. Inés Cano, abogada especializada en nuevas tecnologías y maldita que nos ha prestado sus superpoderes, aclara que el desarrollo y uso de estos sistemas igualmente tendrá que cumplir con la Política común de seguridad y defensa de la UE y las leyes de seguridad nacional de cada país. Te lo explicamos aquí.
Prohibido: bases de datos con imágenes de internet o CCTV, reconocimiento de emociones en algunos lugares, categorización biométrica para sacar conclusiones e identificación biométrica remota en tiempo real
Algunos de los usos de IA que incluyen datos biométricos se califican como riesgo inaceptable y están totalmente prohibidos por poner en riesgo los derechos fundamentales y la seguridad de las personas, como se recoge en el artículo 5. Se prohíben los sistemas de IA que:
Creen o amplíen bases de datos de reconocimiento facial gracias a la extracción no selectiva de imágenes faciales de internet o CCTV (videovigilancia), como Clearview AI.
Infieran las emociones de una persona en los lugares de trabajo y centros educativos, excepto por motivos médicos o de seguridad.
Categoricen biométricamente para inferir o deducir la raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas y vida u orientación sexual de las personas. Aquí hay excepciones si se trata del etiquetado o filtrado de datos biométricos por parte de la policía.
La identificación biométrica remota en tiempo real con fines policiales en espacios de acceso público, excepto si la policía se basa en alguna de estas excepciones: para la búsqueda selectiva de víctimas, prevención de una amenaza o la localización o identificación de una persona sospechosa.
Sobre las excepciones mencionadas, Elena Gil, doctora en Derecho Digital y Protección de Datos y cofundadora de TechandLaw, sostiene que “no es descabellado que se haya dejado esta puerta abierta en vez de establecer prohibiciones absolutas”, ya que los motivos de seguridad “son los casos típicos de excepciones que hacen que una tecnología o tratamiento esté permitido”.
Ojo, a pesar de entrar en vigor el 1 de agosto de 2024, las prohibiciones se aplicarán desde el 2 de febrero de 2025 (y el resto de las obligaciones de forma progresiva hasta el 2027). Los operadores que incumplan la prohibición de prácticas de IA de riesgo inaceptable pueden enfrentar multas de hasta 35 millones de euros o el 7% de la facturación total anual mundial si el infractor es una empresa.
Permitido pero de alto riesgo: identificación biométrica remota (con excepciones), categorización biométrica por atributos y reconocimiento de emociones con fines de seguridad y médicos
No todos los sistemas que usan datos biométricos están prohibidos por la Ley de IA. Algunos han caído en la categoría de alto riesgo: sistemas con gran potencial de dañar los derechos fundamentales, seguridad y salud pero que puede mitigarse con la implementación de salvaguardias. Entre estas medidas están los sistemas de gestión de riesgos, de gobernanza de datos y gestión de calidad, además de evaluaciones de impacto sobre los derechos fundamentales, entre otros.
Los sistemas que usan datos biométricos considerados de alto riesgo son:
La identificación biométrica remota que no se utiliza únicamente para acceder a servicios, desbloquear dispositivos o acceder a instalaciones restringidas.
La categorización de individuos por atributos o características sensibles utilizando datos biométricos. Ojo, se diferencia de la práctica prohibida ya que en este caso las personas se categorizan pero no se hacen inferencias sobre ellos, es decir, no se sacan conclusiones como su orientación sexual o raza .
El reconocimiento de emociones en ámbitos no prohibidos, como la seguridad y medicina. Para este punto, Gil recalca que su uso debe “estar sujeto a los deberes de transparencia en línea con el RGPD”.
Eso sí, los sistemas de reconocimiento de emociones y categorización biométrica permitidos deben informar a cualquiera que puede verse expuesto a su uso, excepto cuando son utilizados con fines policiales.
La regulación de los sistemas de alto riesgo comienza el 2 de agosto de 2026. El incumplimiento de las obligaciones de los proveedores implicará multas de hasta 15 millones de euros o, si el infractor es una empresa, de hasta el 3% de su facturación anual mundial.
Como te explicamos, que ahora exista una Ley de IA no significa que sea la única legislación que regule estas tecnologías. Los modelos, sistemas y herramientas de IA deben seguir cumpliendo con sus obligaciones en materia de propiedad intelectual, protección de datos, responsabilidad y ciberseguridad. “El uso de biometría debe estar también entre los casos permitidos en el artículo 9 del Reglamento General de Protección de Datos (RGPD), que prevé situaciones como que la persona haya prestado su consentimiento”, recuerda Gil.
En este artículo ha colaborado con sus superpoderes la maldita Elena Gil, doctora en Derecho Digital y Protección de Datos y la maldita Inés Cano, abogada especializada en nuevas tecnologías.
Elena Gil e Inés Cano forman parte de Superpoderosas, un proyecto de Maldita.es que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Primera fecha de publicación de este artículo: 14/08/2024