Patricia Díaz
Datysoc
¿Qué es y cómo funciona el RFA?
La tecnología de RFA, que puede usarse para verificar o identificar a una persona a partir de una imagen facial, se utiliza cada vez más en entornos comerciales y sus usos potenciales se han disparado en los últimos 5 años. Los sistemas de reconocimiento facial detectan la existencia de un rostro y crean una plantilla facial de éste. Las plantillas pueden almacenarse de forma independiente de las imágenes de los rostros.
Los sistemas modernos de tecnología de RFA se basan en el aprendizaje automático, un componente de la inteligencia artificial en el que el algoritmo utiliza datos de entrenamiento para identificar patrones y determinar de forma automatizada qué partes de cada rostro son importantes para averiguar quién es cada persona en particular. En los últimos años se utilizan redes neuronales profundas, un tipo especial de algoritmo de aprendizaje automático, para volver más precisos los sistemas y lograr que «aprendan» a reconocer nuevos rostros.
A continuación se sintetizan los diferentes usos de sistemas de biometría facial. Se resaltan en color gris los sistemas que implican RFA propiamente dicho:
Detección facial | Verificación facial | Identificación facial | Análisis facial |
Responde a la pregunta: ¿Esto es un rostro? | Responde a la pregunta: ¿Es esta persona quien dice ser? | Responde a la pregunta: ¿Quién es esta persona? | Responde a varias preguntas posibles: ¿Qué edad tiene esta persona?, ¿de qué sexo es?, ¿qué está sintiendo?, entre otras. |
Este sistema detecta que existe un rostro buscando la forma general de un rostro humano sin identificarlo. | Es un sistema de coincidencia uno a uno en el que se compara la imagen de un rostro a verificar con la plantilla facial o la imagen guardada de una persona. | Es un sistema de coincidencia uno a muchos (1 a N) que compara una imagen de un rostro en tiempo real con una galería de plantillas faciales o imágenes de un banco de personas con sus datos de identificación. | Es una tecnología distinta del reconocimiento facial. El análisis facial utiliza una imagen facial para estimar o clasificar características personales como la edad, la raza o el género. |
Suele usarse para realizar seguimiento sin identificar a las personas, por ejemplo cuando en un shopping se realiza un seguimiento del tráfico peatonal para analizar los flujos de clientes, como las horas pico, a dónde van los clientes y cuánto tiempo permanecen. | Suele usarse con fines de acceso seguro, por ejemplo para desbloquear aplicaciones o dispositivos o para ingresar a locales de trabajo, como medio de pago o inclusive para pasar lista en universidades. | Suele usarse con fines de seguridad para vigilar espacios públicos, ya sea por la policía o por actores privados (por ejemplo, se usa en casinos para detectar tramposos conocidos y miembros de redes del crimen organizado). También se usa en algunos servicios web y redes sociales para etiquetar y organizar fotografías. | Suele usarse para acelerar la identificación de la edad de un cliente con el fin de comprar sustancias controladas, como el alcohol, o para analizar las reacciones de los candidatos en procesos de contratación laboral. |
Los principales problemas que se detectan hoy en relación al uso de RFA (GAO, 20201) son:
- Los problemas de privacidad y seguridad sobre los datos. La imposibilidad de control efectivo de las personas sobre sus datos biométricos y la información personal asociada a ellos. Los datos de biometría facial son datos sensibles, dado que las personas no pueden ocultarlos.
- Los problemas en la precisión y performance de los sistemas de RFA (tasas de falsos negativos y falsos positivos). Existen estudios que han detectado sesgos en el funcionamiento de sistemas de RFA que podrían perjudicar potencialmente a diferentes segmentos de la población (dependiendo de las consecuencias asociadas al contexto de uso), especialmente a personas con tez oscura, mujeres, niños, adultos mayores y personas trans.
- Los problemas de opacidad y falta de rendición de cuentas. Los organismos evaluadores de estos algoritmos no tienen acceso al código ni a los datos utilizados para entrenar algoritmos porque estos son propiedad de las empresas y no se comparten con evaluadores ni con el público. De hecho, debido a este efecto “caja negra”, no existe consenso sobre cuáles son los factores que podrían causar diferencias de desempeño para ciertos datos demográficos (condiciones lumínicas, calidad de las imágenes o sesgos en los datos de entrenamiento, por ejemplo).
El uso de RFA con fines de seguridad pública por los gobiernos
El uso de tecnologías de vigilancia con fines de seguridad pública debe respetar un marco específico de DD. HH. que se encuentra principalmente en la Declaración Universal de los DD. HH. y el Pacto de Derechos Civiles y Políticos. Este tipo de prácticas de control y vigilancia por parte de los gobiernos afecta directamente derechos como la libertad de expresión, la privacidad, el derecho de reunión o el derecho a la protesta o manifestación pacífica, tanto en espacios físicos como en línea (CCPR/C/GC/37)2. Como estos derechos no son absolutos, el Comité de Derechos Humanos de la ONU (A/69/397, párr. 30)3 interpreta de forma unánime que se permitirá la adopción de medidas de vigilancia sobre los ciudadanos siempre que:
- estén autorizadas por una ley nacional que sea accesible y precisa y que se ajuste a los requisitos del Pacto,
- tengan un objetivo legítimo, y
- cumplan los criterios de necesidad y proporcionalidad.
Ya desde el año 2014 la Alta Comisionada de las Naciones Unidas para los Derechos Humanos advierte que estos requisitos no se están cumpliendo (A/HRC/27/37, párr. 48)4, y que los Estados suelen usar sistemas de vigilancia sin leyes nacionales adecuadas, sin garantías procesales y sin suficiente supervisión. La Alta Comisionada señala “la preocupante falta de transparencia gubernamental asociada a las políticas, leyes y prácticas de vigilancia, que dificulta todo intento de evaluar su compatibilidad con el derecho internacional de los derechos humanos y asegurar la rendición de cuentas”. Y en su informe de julio de 2020 (A/HRC/44/24, párr. 38)5, directamente desaconseja el uso de sistemas de RFA, especialmente en espacios públicos y cuando exista un marco de regulación y supervisión débil o incluso ninguno.
Por su parte, el Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión (A/HRC/41/35)6 en el año 2019 realiza un llamado urgente para la rigurosa regulación de las exportaciones de equipos de vigilancia, la adopción de restricciones más estrictas para su utilización, y solicita una moratoria inmediata sobre la venta y la transferencia a nivel mundial “hasta que se establezcan estrictas salvaguardas de los derechos humanos en la regulación de esas prácticas y se pueda garantizar que los gobiernos y los agentes no estatales van a utilizar esos instrumentos de un modo legítimo”.
De hecho, luego del uso de RFA para la persecución de manifestantes en el marco de las protestas por la muerte de George Floyd7, conocidas empresas tecnológicas decidieron moratorias en la oferta de sus soluciones de RFA a los gobiernos, solicitando que su uso sea regulado de forma detallada por la vía parlamentaria. También en el 2020, varias ciudades del mundo decidieron prohibir su uso con fines de vigilancia policial.
RFA para uso policial en Uruguay
En diciembre de 2020, el Parlamento de Uruguay sancionó la Ley de Presupuesto (Ley Nº 19.924)8. Dentro de ella, se aprobaron los artículos 191 y 192, que disponen la creación de una base de datos de identificación facial para su tratamiento con fines de seguridad pública a cargo de la Secretaría del Ministerio del Interior. Esta base se crea migrando los datos de la base de la Dirección Nacional de Identificación Civil, encargada de emitir la cédula de identidad y el pasaporte. Los artículos otorgan al Ministerio del Interior una amplia discrecionalidad en cuanto a qué uso se le dará a la base de identificación facial.
Esta reforma legislativa, aprobada sin un análisis de impacto sobre los datos personales y con mínima discusión parlamentaria, era necesaria para justificar el gasto de casi un millón de dólares que el Ministerio del Interior ya había realizado adquiriendo un software de RFA y servicios de soporte asociados mediante una licitación pública que culminó en febrero de 20209 y cuyo uso planificado (con imágenes faciales de la DNIC) era ilegal al momento de su adquisición.
Aún no se ha discutido ningún decreto reglamentario o protocolo de uso policial del software de RFA que permita cumplir con el principio de legalidad y con la precisión en los límites de su uso que exigen los instrumentos internacionales de DD. HH. Tampoco se conoce cuáles serán los “escenarios de uso” que permitan realizar el test de necesidad y proporcionalidad y analizar si efectivamente la policía persigue un “objetivo legítimo”. Los artículos que habilitan el uso de datos biométricos de identificación facial con fines de seguridad pública enmarcan este uso en el estricto cumplimiento de los cometidos de la Ley Orgánica Policial (19.315) y en lo dispuesto por la Ley de Protección de Datos Personales (18.331). Eso no es ni mínimamente suficiente para evaluar su compatibilidad con el marco internacional de los DD. HH. Por ejemplo, un posible escenario de uso del RFA con fines estrictamente forenses no es comparable con el uso con fines de vigilancia en tiempo real en la vía pública, y ambos serían usos compatibles con los cometidos de la Ley Orgánica Policial.
De cualquier forma, el pliego de licitación del software de RFA contratado por el Ministerio del Interior10 marca qué funcionalidades mínimas le fueron requeridas a las empresas que se presentaron en dicha licitación. De esas funcionalidades se desprende que, con el software adquirido, será posible:
- Procesar una base de datos biométrica de al menos cuatro millones de identidades.
- Armar y administrar “listas globales de personas de interés y listas por unidad operativa”. Esto implica la posibilidad de creación de perfiles de ciudadanos como listas de activistas, participantes en manifestaciones, etc.
- Dotar a 3 mil oficiales de policía con dispositivos móviles con una aplicación de RFA. Esto implica su uso en la vía pública, probablemente con fines de verificación, incluyendo situaciones de reunión o manifestación pacífica.
- Procesar, puntualmente y a demanda, streaming de cámaras en vivo y efectuar vigilancia en tiempo real mediante identificación facial (1 a N) utilizando hasta 5 streamings simultáneos. Esto implica la posibilidad de identificación facial en tiempo real en espacios públicos.
- Integrar el sistema de reconocimiento facial con aplicaciones propias o de terceros. Esto incluye una amplia posibilidad de triangulación de datos con diferentes plataformas, por ejemplo con UCINET (sistema de ciberpatrullaje en redes sociales).
Vale la pena aclarar que estos son usos potenciales que surgen de la simple lectura de los requisitos del pliego de licitación del software contratado por el Ministerio del Interior uruguayo. El Ministerio aún no ha publicado información relativa al uso efectivo del sistema de RFA.
Frente a esta situación, el Laboratorio de Datos y Sociedad (Datysoc), junto con Amnistía Internacional Uruguay, han impulsado la inclusión de este tema dentro del 5º Plan de Acción de Gobierno Abierto 2021-202511, procurando gestionar un compromiso por parte del Ministerio del Interior que posibilite un debate informado y permita la participación de las múltiples partes interesadas para su reglamentación.
Derecho a resistir el RFA en espacios públicos
Aún no es claro cuál será el uso que el Ministerio del Interior dará al nuevo software de RFA que ha contratado (o si ya lo está usando), pero ante su eventual uso en espacios públicos, los ciudadanos tienen derecho a oponerse a sistemas de vigilancia indiscriminados y desproporcionados. Existen diversos proyectos que, desde perspectivas artísticas, apuntan a brindar herramientas para la resistencia a la vigilancia masiva en espacios públicos y para el ejercicio del derecho a la protesta pacífica. A continuación se describen dos ejemplos:
1) El proyecto Computer Vision Dazzle o CV Dazzle de Adam Harvey, que establece varios diseños de peinados y maquillaje testeados con diferentes sistemas de RFA.
2) El Proyecto URME (Personal Surveillance Identity Prosthetic), en el que el artista Leo Salvaggio cede su rostro al dominio público a través de la máscara URME. Se trata de una prótesis de identidad de vigilancia personal hecha de una resina dura pigmentada, resultado de un escaneo 3D del rostro del artista.
Finalmente, encontramos una infinidad de tutoriales de camuflaje antivigilancia disponibles en redes sociales, como el que la usuaria de Instagram @martymoment ha generado explicando cuáles son los 5 principales puntos del rostro que se deben cubrir y cómo generar un maquillaje y peinado utilizando las técnicas de CV Dazzle.
Es importante aclarar que nunca deben tomarse los consejos de evasión de tecnologías de RFA sin realizar pruebas. Evadir la detección de rostros requiere un conocimiento previo del algoritmo. La vigilancia facial evoluciona muy rápidamente y los sistemas se actualizan para evitar evasiones.
La eficacia de estas iniciativas no consiste únicamente en que brindan herramientas para evadir los sistemas de RFA, sino también en que llaman la atención sobre el problema que estos sistemas de vigilancia representan.
No obstante, más allá de iniciativas interesantes pero aisladas, es cada vez más apremiante la necesidad de que la sociedad civil organizada en Uruguay se involucre de lleno en este tema. De esta manera, el reclamo contra los usos indiscriminados del RFA podrá canalizarse hacia el logro de resultados efectivos, que incluyen, entre otras cosas, la prohibición del uso de identificación facial en espacios públicos y la transparencia del Estado en el uso de sistemas de RFA.
1 United States Government Accountability Office. 2020. «Facial Recognition Technology. Privacy and Accuracy Issues Related to Commercial Uses». Report to Congressional Requesters.
2 Observación general No. 37 del Comité de Derechos Humanos de las Naciones Unidas (2020). Disponible en: https://undocs.org/es/CCPR/C/GC/37
3 Informe del Relator Especial sobre la promoción y la protección de los derechos humanos y las libertades fundamentales en la lucha contra el terrorismo (2014). Disponible en: https://undocs.org/pdf?symbol=es/A/69/397
4 Informe sobre el derecho a la privacidad en la era digital (2014). Disponible en: https://undocs.org/sp/A/HRC/27/37
5 Informe sobre el impacto de las nuevas tecnologías en la promoción y protección de los derechos humanos en el contexto de las reuniones, incluidas las protestas pacíficas (2020). Disponible en: https://undocs.org/es/A/HRC/44/24
6 Informe sobre la vigilancia y los derechos humanos (2019). Disponible en: https://www.undocs.org/es/A/HRC/41/35
7 Ver noticia en: https://www.forbes.com/sites/larrymagid/2020/06/12/ibm-microsoft-and-amazon-not-letting-police-use-their-facial-recognition-technology/?sh=760b319f1887
8 Disponible en: https://www.impo.com.uy/bases/leyes/19924-2020
9 Disponible en: https://www.comprasestatales.gub.uy/consultas/detalle/id/744940
10 Ibidem nota 9
12 Disponible en: https://ahprojects.com/cvdazzle/
13 Disponible en: https://www.instagram.com/tv/CA2xbn3H_pX/?ig_rid=b35de3bc-f328-4881-aca2-441483b80e09