ru24.pro
World News in Spanish
Календарь
Февраль
2024
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

La regulación cambia el rostro del millonario negocio de la biometría

0
Abc.es 
Las técnicas biométricas, aquellas que identifican a la persona en base a sus rasgos físicos intrínsecos, como la huella dactilar, la cara o la voz , llevan tiempo implantadas en numerosos sectores en aras de aumentar la seguridad y mejorar la experiencia de usuario, pero ahora se enfrentan a una nueva etapa en la que su utilización se examinará al milímetro para evitar los efectos indeseados que puedan tener. En el Viejo Continente, el largamente negociado reglamento de inteligencia artificial clasifica estos sistemas en función del riesgo y establece las restricciones asociadas a cada una de las escalas, lo que sitúa a Europa como la primera región del mundo en contar con una regulación tan completa en torno a estas soluciones. Si el acuerdo alcanzado en Bruselas marcará un antes y un después en el negocio de la biometría, a nivel español también se avecinan cambios de calado, ya que el pasado mes de noviembre, la Agencia Española de Protección de Datos (AEPD), con potestad sancionadora, publicó una guía que endurece los criterios para el uso de la biometría para el control de acceso, tanto con fines laborales como no laborales, al considerar el tratamiento de datos biométricos para identificación y autenticación como un tratamiento de alto riesgo que incluye categorías especiales de datos. Unos nuevos parámetros que han creado incertidumbre entre las empresas de nuestro país. En un contexto en el que acciones como desbloquear el móvil con el rostro o confirmar un pago online con la huella dactilar forman parte de nuestra cotidianidad, nadie duda de que, desde el punto de vista técnico, las posibilidades son gigantescas, pero cuestión más delicada es ponerlas en práctica, ya que estos sistemas plantean serias dudas en materia de derechos y libertades fundamentales. Regiones como Estados Unidos o China han adoptado una postura permisiva , en contraposición a la de la Unión Europea, que se mueve con pies de plomo a la hora de fijar las normas sobre su empleo. Esta tecnología, precisamente, ha sido objeto de interminables tira y afloja en las negociaciones de los Estados y la Eurocámara para dar luz verde a la ley de inteligencia artificial. Y en nuestro país, la AEPD ha dejado claro que las empresas deben justificar debidamente la necesidad de recurrir a estos sistemas, además de cumplir con una serie de obligaciones. Noticia Relacionada estandar No Ocho claves para entender la primera ley de inteligencia artificial Rodrigo Alonso La norma, pionera a nivel mundial, pone bajo control a ChatGPT y regula el uso policial del reconocimiento facial Todos estos movimientos han empujado al sector hacia un terreno incierto. Por un lado, está a la espera de que en las próximas semanas el reglamento se publique en el Diario Oficial de la Unión Europea, aunque su entrada en vigor al completo no se prevé hasta 2026. Por otro lado, las empresas que operan en nuestro país todavía están trabajando para adaptarse a los nuevos criterios de la mencionada guía , que modifica las reglas del juego. De ambas cosas dependerá, en buena medida, el devenir de un mercado que a nivel mundial valía 41.080 millones de dólares en 2023 y que se estima que alcanzará los 150.580 millones para 2030, según un reciente informe de Research and Markets. A pesar de todas las novedades que está viviendo la industria, los expertos consultados se muestran optimistas porque creen que la mayor seguridad en la autenticación que proporciona la biometría en comparación a otras tecnologías, unida a la creciente aceptación por parte de la población, se traducirá en un crecimiento en los años venideros que tendrá que ir acompañado, eso sí, del cumplimiento normativo que corresponda en cada caso. Pionera y referente El sentir general sobre la ley europea es que aspira a convertirse en el modelo a seguir por el resto del mundo, con una visión centrada en la protección de los ciudadanos sin dejar de lado la innovación y competitividad del sector. «Europa fue referente en materia de protección de datos con el RGPD y probablemente lo vuelva a ser con el reglamento de IA. El desafío era proteger los valores europeos en el uso de la tecnología , pero al mismo tiempo velar por la innovación. Ha logrado el equilibrio gracias a un enfoque basado en los riesgos en lugar de regular el todo por el todo», valora Leire Arbona, directora de Legal y Cumplimiento de Veridas, firma española especializada en identidad biométrica. La legislación establece tres niveles de riesgo. El inaceptable incluye aquellos sistemas que representan una amenaza directa a la seguridad pública, los derechos fundamentales o la privacidad, quedando prohibidos, salvo en situaciones muy excepcionales . Como de riesgo alto se clasifican los que podrían tener un impacto considerable en los derechos fundamentales de las personas y, por tanto, antes de ponerse en marcha deben pasar una serie de auditorías y evaluaciones de impacto, además de estar sujetos a fuertes restricciones y a la monitorización de su funcionamiento. Por último, están los sistemas de bajo riesgo o inexistente, que no necesitan garantías adicionales. Participación activa Arbona explica que la cuestión clave para la clasificación en una categoría u otra es que el usuario conozca el sistema y decida libremente sobre su uso. Así, por ejemplo, se prohíben los sistemas de identificación biométrica remota , en los que no hay participación activa del usuario, en espacios abiertos al público para fines policiales, salvo una serie de excepciones muy concretas (ataque terrorista inminente, búsqueda de secuestrados) que habrán de cumplir requisitos adicionales desde el punto de vista de proporcionalidad y necesitarán, asimismo, una autorización judicial. «La capacidad de decisión del usuario es prácticamente nula y las consecuencias, por ser fines policiales, pueden ser importantes, de ahí que sea un riesgo inaceptable. Europa en este sentido ha dejado muy claro que no quiere ser China», subraya la experta. La identificación biométrica remota sin fines policiales, por su parte, se catalogaría como de alto riesgo, mientras que todos los sistemas actuales en los que el usuario actúa deliberadamente para acreditar su identidad mediante biometría permanecerían como de riesgo bajo. «Hablamos de procesos online de autenticación con el móvil, cuando llamamos a un 'call center' y nos autenticamos con la voz y, en el entorno físico, cuando usamos un sistema de acceso biométrico y lo activamos con una acción voluntaria. En realidad, en España prácticamente todo lo que utilizan las empresas hoy sería de bajo riesgo según el reglamento», afirma. Evitar peligros reales Y es que el objetivo de la norma, en este sentido, es adelantarse a lo que pueda ocurrir. «Con el reglamento, se pretenden evitar problemas de cara al futuro», resume Pablo Uslé, director de Equipo del área de Tecnología de Baker McKenzie. Cabe recordar que en la mayor parte del continente el uso de IA por parte de la policía para el reconocimiento de personas aún no se encuentra tan avanzado como en algunas ciudades de Estados Unidos, donde ha protagonizado escándalos como el de Porcha Woodruff, una mujer de Detroit detenida erróneamente por el robo de un coche. «Este es el tipo de situaciones que se quieren evitar», ahonda Uslé, que aclara que las prohibiciones y restricciones del reglamento se aplican solo a los sistemas de biometría que utilicen inteligencia artificial. Los que no impliquen el uso de esta tecnología se verán afectados por normativas como la de protección de datos, pero no por la nueva ley. La norma prevé un régimen sancionador que varía en severidad dependiendo de la infracción. Como detalla Uslé, contempla multas de 35 millones de euros o el 7% de la cifra de negocios anual en todo el mundo (lo que sea mayor) si se realiza una práctica prohibida. En el caso de la realización de una práctica de alto riesgo sin cumplir los requisitos, las sanciones pueden ser de 15 millones de euros o del 3% de la cifra de negocios. Y hay otro umbral para aquellos casos en los que las autoridades soliciten información y se entregue incorrecta: las multas pueden ser del 1,5% de la cifra de negocios anual en todo el mundo o 7,5 millones de euros. Marc Sabadi, Identity Innovation Lead en Mitek Systems, otra empresas española que opera en el sector, cree que la tecnología va siempre un paso por delante de la regulación, pero sin esta, los ciudadanos no se pueden sentir seguros usando tecnología. «La Unión Europea apuesta por ser una superpotencia reguladora pionera en materia de IA con un enfoque holístico, como ya hizo con el RGPD, que luego inspiró la Ley de Privacidad del Consumidor de California o la Ley de Protección de Información Personal de China. Es decir, a nivel geoestratégico se apuesta por marcar reglas que tengan un alcance más allá de Europa», expone. Esta perspectiva difiere de la estadounidense, más basada en el 'laissez faire' y de la china, que prioriza la soberanía digital y el papel central del Estado . Sabadi comenta que se calcula que el gigante asiático, líder en el desarrollo de esta tecnología, contaba en 2020 con más de 600 millones de cámaras de vigilancia en las calles. Una suerte de 'Gran Hermano' impensable en territorio europeo, más aún con la nueva ley de inteligencia artificial. Nuevo criterio El cerco a los sistemas biométricos llega también de puertas para adentro y lo hace dejando un reguero de incógnitas. En la guía que publicó en noviembre, la Agencia Española de Protección de Datos cambiaba su criterio respecto al uso de estas soluciones para el control de acceso. «Prácticamente ha imposibilitado el empleo de tecnologías de biometría para ciertos casos de uso como el registro de jornada de los trabajadores », asegura Pablo Uslé, del despacho de abogados Baker McKenzie. «Históricamente, la AEPD tenía un criterio, que es que no todos los datos de huella dactilar o de ese estilo eran biométricos, sino solo en algunos casos, mientras que a nivel europeo se considera que siempre se trata de datos biométricos. La Agencia ha cambiado su criterio para alinearse con el que era más usual en el resto de países de la UE», dice. Una decisión que tiene implicaciones, ya que cuando un dato es biométrico, según el RGPD, existen unas restricciones adicionales. En el caso de registro de jornada y control de acceso con fines laborales, la Agencia especifica que el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo. «Si la empresa ofrece una alternativa al empleado y le garantiza que no habrá consecuencias en caso de que opte por dicha alternativa, ese consentimiento sería libre y válido, pero habría un problema desde el punto de vista de protección de datos: el tratamiento no sería necesario », señala. El principio básico de minimización y de proporcionalidad significa que si se puede hacer un tratamiento con medios menos intrusivos no está justificado que se haga con medios más intrusivos. «En este caso –dice–, si sirve con que al empleado se le dé una tarjeta, eso por sí mismo acredita que no sea necesario que se le exija que utilice un medio más intrusivo como el sistema biométrico». Incertidumbre Para Marcelo Dos Reis, CEO de Grupo SPEC, empresa experta en gestión horaria y control de accesos, el cambio de criterio ha generado «incertidumbre» y muchas empresas, por temor a sanciones, han renunciado a la biometría . Para los proveedores más modestos de este tipo de soluciones, también es un varapalo. «Una pyme que invirtió todo su dinero en desarrollar biometría porque era el futuro ahora recibe este mensaje y no tiene ganas de seguir invirtiendo», advierte. La otra cara de la moneda son las compañías con mayor músculo financiero, que ya buscan alternativas para esquivar las multas de la AEPD. «Tenemos clientes con miles de empleados a los que pagan horas extra y necesitan una certidumbre total, así que quieren mantener la biometría. Les ofrecemos que la imagen de la huella dactilar o la cara no estén en la base de datos de la empresa, sino que se guarde en una tarjeta de proximidad que es poder del trabajador. Así, primero pasan la tarjeta y luego ponen el dedo», concreta Dos Reis, que echa en falta que la AEPD sea más explícita: «No se aclara qué pasa en caso de que la huella la tenga el empleado en la tarjeta en vez de en la base de la empresa. Sería positivo que publique una nueva guía aclarando estas cuestiones porque hay un montón de dudas». Fuera del ámbito laboral, iniciativas técnicamente viables podrían quedar en el limbo. Por ejemplo, algunos clubes de fútbol han permitido a los socios que lo deseen entrar al estadio sin el abono ni el móvil gracias a unos terminales que reconocen su cara. Sin embargo, la AEPD ha lanzado una advertencia a LaLiga , ante la licitación de un contrato para desarrollar un sistema de reconocimiento facial para el acceso de los aficionados a los estadios, en la que recuerda, entre otros aspectos, que el responsable debe valorar si hay otro sistema menos intrusivo con el que se obtenga idéntica finalidad. Aena también permite en algunos aeropuertos que los viajeros que lo autoricen embarquen sin necesidad de presentar el pasaporte ni el billete , otro caso de uso que suscita dudas. Fuentes legales consultadas por este periódico enfatizan que, si bien el consentimiento es libre, también se tiene que superar el juicio de proporcionalidad , que el tratamiento sea necesario y no se pueda hacer a través de otros medios menos intrusivos. «En cada caso de uso concreto puede haber algún argumento específico que lo justifique, pero si continúan ofreciendo una alternativa al usuario, la situación sigue siendo incierta», apuntan. El negocio de la biometría encara una nueva era en la que el arsenal normativo no despeja todas las dudas.