temporary ban on facial recognition

Dos senadores de Estados Unidos proponen un proyecto de ley para vetar de manera temporal el uso de reconocimiento facial por el Gobierno.

Dos senadores demócratas estadounidenses han presentado un proyecto de ley para vetar de manera temporal el uso de reconocimiento facial por el Gobierno Federal hasta que el Congreso apruebe normativa al respecto.

Como respuesta al rápido desarrollo de la tecnología de reconocimiento facial, dos senadores demócratas estadounidenses, Cory Booker y Jeff Merkley, han solicitado un veto temporal en su uso por el Gobierno Federal. Aunque se han dado iniciativas previas para regular varios aspectos del reconocimiento facial, ninguna de ella está en vigor por no haber sido aprobadas por el Congreso. A pesar de que existen opiniones enfrentadas a este respecto, parece que existe consenso en cuanto a la necesidad de imponer algún tipo de freno temporal. Algunas asociaciones por los derechos de los ciudadanos también han sido muy críticas con el uso de esta tecnología, considerada “vigilancia sin garantías”.

El reconocimiento facial presenta así algunos desafíos importantes.

El reconocimiento facial puede ser impreciso o estar sesgado.

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) publicó el pasado mes de diciembre un estudio sobre lo que se ha denominado “variables demográficas”. Se trata de un factor que puede reducir la precisión de la tecnología según la edad, género o raza. Según el periódico “The Hill”, muchos otros estudios han descubierto que esta tecnología tiende a presentar errores más frecuentes cuando se trata de identificar mujeres o personas de color.

En palabras de Cory Booker, «La tecnología de reconocimiento facial ha demostrado que es imprecisa – identificando y catalogando con errores a mujeres y personas de color. Para proteger la privacidad y la seguridad, el Congreso debe trabajar en las normas que indiquen el camino hacia un uso responsable por parte del Gobierno Federal”.

Uso ético de la tecnología de reconocimiento facial.

La normativa propuesta el mes pasado por los senadores demócratas Jeff Merkley y Cory Booker, conocida como la Ley de Uso Ético del Reconocimiento Facial, impondría un veto temporal en el uso de esta tecnología por parte del Gobierno Federal, hasta que el Congreso aprobase la legislación correspondiente. Además, se paralizaría también el gasto federal y local en la misma y se formaría una Comisión para ofrecer recomendaciones al Congreso de cara a un futuro uso del reconocimiento facial por parte del Gobierno Federal. Dicha Comisión estaría en funcionamiento durante los primeros 18 meses tras aprobarse el Proyecto de Ley.

Como señalábamos en el blog de Aphaia hace dos meses, la UE también está considerando imponer un veto de 3 a 5 años en el uso de reconocimiento facial en lugares públicos.

¿Cuáles son las implicaciones de esta legislación?

Aunque la Ley de Uso Ético del Reconocimiento Facial ya se ha presentado, su implementación podría ser lenta, como ya ha ocurrido con Proyectos de Ley similares. El año pasado se presentó un Proyecto de Ley que requería la recogida de consentimiento por parte de las empresas antes de utilizar tecnología de reconocimiento facial en espacios públicos y compartirla con terceros. Un caso más reciente fue el del Proyecto de Ley que imponía la obtención de órdenes judiciales para el uso de software de reconocimiento facial para vigilancia masiva. Hasta la fecha ninguna de estas iniciativas ha avanzado en el Congreso.

La Sección 2 del Proyecto de Ley establece que:

(4) Hay evidencia de que el reconocimiento facial se ha utilizado en protestas y manifestaciones, lo que podría afectar al discurso. (5) Es esencial que el reconocimiento facial no se utilice para reprimir actividades relacionadas con la Primera Enmienda, violar la privacidad o afectar de manera negativa a los derechos y libertades civiles.

En caso de aprobarse, esta legislación prohibiría al Gobierno Federal emplear esta tecnología hasta que el Congreso aprobase legislación para su regulación, de manera que se minimizase el riesgo para los derechos y la privacidad de los ciudadanos.

¿Utilizas reconocimiento facial para la elaboración de perfiles o envío de marketing? En Aphaia Podemos ayudarte con nuestra Evaluación de la ética de la IA. Aphaia también ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Declaración sobre los datos personales.

La FCA, ICO y FSCS lanzan una declaración conjunta con un aviso hacia las firmas autorizadas por la FCA y los IPs para que sean diligentes con los datos personales

La Autoridad Financiera de Reino Unido (FCA), la Autoridad de Control (ICO) y el Esquema de Compensación de Servicios Financieros (FSCS) han lanzado una declaración conjunta con un aviso hacia las empresas autorizadas por la FCA y los Profesionales de Insolvencia (IPs) para que sean diligentes cuando traten los datos personales de los clientes

El pasado 7 de febrero, la FCA, la ICO y el FCS publicaron una declaración conjunta con un aviso hacia las empresas autorizadas por la FCA y los IPs contra la venta ilegítima de los datos de los clientes a las Empresas de Gestión de Reclamaciones (CMCs). El motivo es que se ha señalado que algunas compañías autorizadas por la FCA y los IP han tratado de vender datos personales de los consumidores de forma ilegítima. Las CMCs podrían así no estar actuando en el mejor interés de los clientes al promocionar de manera ilegítima sus servicios.

Mientras que el manual de la FCA establece que las CMCs deben actuar de forma honesta, transparente y profesional de acuerdo a los mejores intereses de los consumidores, este podría no estar siendo el caso. Las CMCs que pretendan comprar y usar tales datos personales deberán demostrar cumplimiento con la normativa de privacidad. Aunque los contratos pueden variar, aquellos más estándar normalmente no cubren el consentimiento para que la información personal se comparta con las CMCs a fin de promocionar sus servicios, y podría por tanto no ser legítimo.

Por qué la venta de datos personales de consumidores a las CMCs podría no ser legítima.

Aparte del hecho de que los contratos tipo no cubren el consentimiento para que los datos personales de los clientes se vendan a las CMCs, las empresas que transfieren los datos podrían además no estar cumpliendo con las disposiciones de la ley de protección de datos de Reino Unido y el RGPD. Así por tanto, cualquier comunicación de marketing, ya sea mediante emails o llamadas, podría estar infringiendo las provisiones del ePrivacy y la normativa nacional que la implementa.

¿Cuáles son las implicaciones de tales incumplimientos con la normativa de protección de datos?

Las empresas deben cumplir con la Data Protection Act 2018, el RGPD y el manual de la FCA. En el caso de las empresas autorizadas por la FCA y los IPs en particular, se aplica el código de conducta CMCOB Claims Management: Conduct of Business sourcebook. Cuando la ICO o la FCA descubran que estas empresas han infringido algunas de las leyes de protección de datos, tomarán las acciones correspondientes y se podrían derivar grandes consecuencias.

Continúan así las multas por infracciones de la normativa de protección de datos, como aquella de la que informábamos justo la semana pasada impuesta por la Autoridad de Control Italiana a TIM SpA con más de 27 millones de euros.

¿Tu empresa ha implementado todas las medidas de seguridad adecuadas en conformidad con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Aplicación legislativa y AI

Regulación del derecho a la privacidad en la era de la IA

El año 2019 ha demostrado que las reglas del RGPD acerca de la elaboración de perfiles con IA no podrían haber sido más oportunas. Desde paneles publicitarios inteligentes hasta dispositivos de audio en casa, la IA se ha desplegado para dar sentido a todo lo que exponemos sobre nosotros mismos, incluso las caras y las cosas que decimos informalmente. Al margen de estos acontecimientos, que en muchas ocasiones han despertado inquietudes, el cumplimiento de la legislación en el sector ha sido algo lento. ¿Será 2020 el año en que la regulación sobre la privacidad devuelve por fin el golpe?

Tecnología de IA

A pesar del endurecimiento de la legislación, parece que sigue habiendo un claro sesgo hacia el despliegue de la tecnología sin tener en cuenta si su implementación satisface los requisitos de cumplimiento normativo. Merece la pena apuntar que la tecnología, de por sí, rara vez incurre en un «incumplimiento», sino que es la forma en que se usa la que genera problemas.

Pongamos por ejemplo los paneles publicitarios inteligentes capaces de leer las expresiones faciales que se han desplegado en múltiples ubicaciones públicas y concurridas en 2019. ¿Se ha sometido a estos proyectos a la evaluación del impacto sobre la privacidad de la Regulación General de Protección de Datos (RGPD), tal como exige la ley? Debemos apuntar que la propia monitorización por vídeo de los espacios públicos ya conlleva considerables riesgos para la privacidad. Al añadir a esta monitorización por vídeo un análisis en tiempo real de las características faciales, el RGPD ofrece al consumidor el claro derecho a objetar por la elaboración de perfiles. Si hacemos caso omiso a las obvias dificultades para objetar a un panel publicitario en una calle concurrida, ¿cómo se observará en el futuro la objeción del consumidor a esta elaboración de perfiles la siguiente vez que pase por delante?

El aprendizaje automático nos permite dar cada vez más sentido a enormes cantidades de datos. Por si no lo parecían ya, se pronostica que las soluciones que se lancen en 2020 pueden percibirse incluso como más intrusivas. Es irónico, no obstante, que dicha percepción puede no ser aplicable en el caso de ciertos sistemas inteligentes desarrollados para crear vínculos más sutiles, menos intrusivos a la vista y por tanto más efectivos para vincular nuestras preferencias y las ofertas comerciales que se nos presentan. Esto puede ayudarnos a entender qué aspecto de la publicidad dirigida detestamos más: la intrusión en la privacidad o la burda implementación de la tecnología.

La IA y la ley

La idea de que la ley es simplemente «incapaz de mantenerse al día con la tecnología» no solo es una respuesta inadecuada al problema, sino que también suele carecer de base como afirmación. El RGPD incorpora provisiones concretas acerca de la elaboración de perfiles y la toma de decisiones automatizada, creadas a medida para el uso de la inteligencia artificial en relación con el procesamiento de datos personales. Dicho procesamiento queda sujeto al derecho de obtener la intervención humana y al derecho de objetar al procesamiento. También existen limitaciones adicionales relativas a categorías especiales de datos. Algunos países de fuera de la UE han comenzado a adoptar principios similares a los del RGPD, entre ellos Brasil, que aprobó la Ley General de Protección de Datos (LGPD) en 2018.

La Ley de Privacidad de los Consumidores de California (CCPA), aunque está menos centrada específicamente en la IA, también empodera a los consumidores permitiéndoles prohibir la «venta de datos». Se trata de una medida que no es en absoluto irrelevante. Sin la posibilidad de recopilar y fusionar datos de diferentes fuentes, su valor para fines de aprendizaje automático puede disminuir considerablemente. Por otro lado, sin la posibilidad de vender datos, los incentivos para realizar análisis estadísticos excesivos de los datos se disipa en cierta medida.

A la hora de crear un marco más amplio para la regulación de la inteligencia artificial, la situación legal sigue estando menos clara por ahora. Los principios y las reglas se limitan actualmente a directrices no vinculantes, como las Directrices Éticas para una IA Fiable de la UE. Pero esto no afecta a los aspectos de privacidad por los que los reguladores europeos ya pueden imponer sanciones de hasta 20 millones de € o un 4 % de los ingresos mundiales de la empresa. Las sanciones de la CCPA son menores, pero se pueden multiplicar debido al número de usuarios afectados.

El panorama regulatorio de la IA

A principios de 2019, la autoridad francesa de protección de datos CNIL puso una multa de 50 millones de € a Google por su insuficiente transparencia en relación a la publicidad dirigida. Como indicó la CNIL, «la información esencial, como los fines del procesamiento de datos, sus periodos de almacenamiento y las categorías de datos utilizadas para la personalización de los anuncios están diseminadas en exceso a lo largo de diferentes documentos, con botones y enlaces en los que es necesario hacer clic para acceder a información complementaria». Aunque la multa no se acercó al límite máximo permitido por el RGPD, el caso abre la veda para que las autoridades de protección de datos hagan más pesquisas en 2020.

Por ejemplo: ¿están suficientemente explicados los algoritmos de aprendizaje automático y las fuentes de datos que se utilizan con ellos? Cuando las autoridades de protección de datos tratan de encontrar respuesta a estas preguntas, ¿confiarán en la información que aporten las empresas? Si no es así, podrían empezar a profundizar más en base a evidencias anecdóticas. ¿Cómo es posible que el usuario esté viendo un anuncio particular? ¿Se ha basado este hecho en un algoritmo sofisticado de aprendizaje automático o se han analizado datos que no debieran haberse analizado?

Hasta ahora, las batallas legales por la privacidad se han centrado principalmente en el cumplimiento formal, por ejemplo en los dos casos «Schrems». Pero las tendencias de uso de la IA en 2020 podrían obligar a los reguladores a mirar con más atención lo que está pasando en realidad en las profundidades de las cajas negras de dispositivos domésticos y en la nube. Mientras redacto este artículo, la UE acaba de dar un paso para imponer una prohibición temporal sobre el reconocimiento facial en espacios públicos.