Muchas personas se preocupan por el uso del reconocimiento facial, especialmente para la vigilancia. Es entendible. Cuando un sistema identifica erróneamente a una persona, esta podría ser erróneamente detenida por las fuerzas de seguridad. Y si un sistema funciona peor en la identificación de ciertos grupos que otros (quizás debido a datos de capacitación insuficientes), las personas que pertenecen a esos grupos serán más propensas a ser víctimas de una identificación errónea.
Hay cuestiones fundamentales de privacidad, consentimiento y desviación de uso en juego. ¿Cómo puede la gente estar segura de que sus datos faciales no se comparten? ¿Qué protecciones existen para las personas que no interesan a la policía? ¿Podrían los delincuentes potenciales ser detenidos antes de cometer un delito?
Estas preocupaciones se reconocen desde hace mucho tiempo en la industria. El Instituto de Biometría se creó en 2001 para promover el uso responsable y ético de la biometría. "A menudo la legislación no puede mantenerse al día", explica la Directora Ejecutiva Isabelle Moeller. "La tecnología se está moviendo tan rápido que es muy difícil proporcionar el marco adecuado a tiempo".
Dado que los estándares tardan mucho en desarrollarse, muchas compañías reconocen la necesidad de probar sus sistemas rigurosamente. Mientras tanto, organismos como el Biometrics Institute están trabajando arduamente para ayudar a las organizaciones a lidiar con las grandes preguntas. "¿Qué implica la recopilación de los datos de las personas? ¿Cómo almacenamos esa información de forma segura? Esos son los tipos de preguntas que estamos buscando responder diariamente", dice Moeller.
En 2019, el Instituto actualizó sus pautas de privacidad para tener en cuenta el crecimiento de la inteligencia artificial, los drones y los sistemas de reconocimiento facial más sofisticados. Continúa construyendo sobre el trabajo que realizan las organizaciones en todos los ámbitos. En 2018, Microsoft hizo una publicación importante. Dijo que la regulación es necesaria para evitar que las empresas tecnológicas tengan que elegir entre "responsabilidad social y éxito en el mercado".
Compartió seis principios rectores:
1. Justicia
La tecnología de reconocimiento facial debe tratar a todas las personas de manera justa.
2. Transparencia
Las compañías tecnológicas deben documentar las capacidades y las limitaciones de la tecnología.
3. Responsabilidad
Debe haber un nivel apropiado de control humano para los usos que puedan afectar a las personas de manera consecuente.
4. No discriminación
Los términos de servicio deben prohibir la discriminación ilegal.
5. Notificación y consentimiento
Las empresas deben proporcionar aviso y consentimiento seguro cuando implementan el reconocimiento facial.
6. Vigilancia legal
Debería haber protección de las libertades democráticas de las personas en los escenarios de vigilancia policial.
En algunos países, ya existe una regulación que aborda algunos de estos temas.
La Unión Europea introdujo el Reglamento General de Protección de Datos (GDPR) el 25 de mayo de 2018. El GDPR establece medidas para limitar las formas en que las empresas pueden recopilar, almacenar y compartir datos personales.
Clasifica los datos faciales como una "categoría especial" de datos porque revelan el origen racial o étnico, la genética, la biometría y más.
Están en juego algunas cuestiones fundamentales de privacidad. ¿Cómo puede la gente estar segura de que sus datos faciales no se comparten? ¿Qué protecciones existen para las personas que no son de interes para la policía?
En lugares públicos, donde la tecnología se usa para vigilancia o publicidad dirigida, es difícil ver cómo el consentimiento puede ser explícito. Un lugar puede mostrar un letrero que explique que se utilizará el reconocimiento facial. ¿Pero el consentimiento se da libremente en este escenario? ¿Alguien puede optar por no otorgarlo? ¿Qué pasa si una persona entra sin ver el letrero?
Los expertos de la industria creen que la transparencia es absolutamente necesaria para el desarrollo ético del reconocimiento facial, y que la regulación, como el GDPR, lo proporciona. Dimitrios Pavlakis de ABI Research dice: "Con la protección de datos y el reconocimiento facial, los ciudadanos deben saber cómo se utilizan sus datos. La innovación y el progreso tecnológico no deben excluir la responsabilidad".
Frederic Trojani, Presidente de Security Identity Alliance, está de acuerdo con Pavlakis: "La forma en que se usarán los datos biométricos debe explicarse a las personas de forma explícita. Las regulaciones deben establecer reglas claras sobre la privacidad individual y la protección de datos. Las personas necesitan respuestas a preguntas como: ¿Se almacenarán mis datos? ¿Por qué motivo? ¿Por cuánto tiempo? ¿Tengo derecho a borrarlos? El reglamento GDPR es un buen ejemplo de cómo hacer eso".
La Security Identity Alliance publicó un conjunto de mejores prácticas y recomendaciones sobre libertades civiles y reconocimiento facial en junio de 2019.
También debe tenerse en cuenta que el GDPR no está restringido a empresas con sede en la UE. Cubre el procesamiento de datos personales de ciudadanos de la UE y, por lo tanto, aplica a organizaciones basadas en otros continentes.
En los Estados Unidos, el gobierno federal no ha introducido una regulación sobre reconocimiento facial. Sin embargo, muchos estados están considerando el tema.
En mayo de 2019, la Junta de Supervisores de San Francisco votó por ocho a uno la prohibición del uso de la tecnología por parte de las agencias locales, como la policía. La acción fue vista como un gesto, porque el departamento de policía no implementa actualmente la identificación facial.
Sin embargo, los expertos de la industria creen que los reguladores deben reservarse la opinión antes de prohibir la tecnología por completo. Joseph Hoellerer, Gerente Senior de Relaciones Gubernamentales de la Security Industry Association (SIA), dice: "Consideramos prematuro y problemático cualquier movimiento para prohibir el reconocimiento facial".
"Los legisladores deben analizar el tema de manera integral. Necesitan la imagen completa antes de actuar. La mejor manera de caracterizar el reconocimiento facial en la aplicación de la ley es verlo como una de las muchas herramientas disponibles. No debe usarse como la única base para detener a alguien. Pero tampoco debe ser rechazado".
Melissa Doval, CEO de Kairos, está de acuerdo en que hay importantes cuestiones éticas que deben abordarse en torno al reconocimiento facial. Kairos, empresa que tiene su sede en EE.UU., ofrece tecnología que las empresas pueden utilizar para aplicar la identificación facial a sus propias bases de datos. Los desarrolladores pueden usar las API de Kairos para hacer coincidir el mismo rostro o, incluso, detectar si hay un rostro presente.
Utilizado éticamente, el reconocimiento facial puede mejorar la seguridad ciudadana ayudando a la policía a detectar y atrapar criminales más rápido. También podría ayudar a prevenir el crimen antes de que ocurra. Pero es necesario establecer regulaciones para limitar su uso a casos bien identificados y legítimos. La prohibición total de esta tecnología parece apresurada, por lo que ciudades como Londres han establecido paneles de expertos para examinar los problemas.
Doval cree que cualquier debate debería considerar factores más allá de la tecnología por sí sola. "Estas son cuestiones humanas", dice. "Los sistemas de reconocimiento facial no son como los automóviles conectados, por ejemplo, donde el vehículo en sí podría necesitar tomar una decisión de vida o muerte. El reconocimiento facial simplemente alimenta la información sobre la que una persona actúa".
Ella confía en que la sociedad eventualmente decidirá por un marco ético para la tecnología. Pero mientras tanto, Kairos es selectivo sobre su base de clientes. Rechaza clientes diariamente y trabaja con aquellos que aplican el reconocimiento facial a la coincidencia o la autenticación y no a la vigilancia.