Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (I)

1) Introducción

Imagina que pasas por delante de una cámara de vigilancia en la entrada de un estadio de fútbol; pero no te ve o más bien te ignora, porque no eres importante para ella. La cámara sólo es sensible a los rostros de los delincuentes conocidos o a las posibles amenazas a nuestra seguridad. No estás en la lista. Relájate.

Esto. sin embargo, te irrita, porque no consideras ético que una cámara en un estadio analice tu sonrisa, tus gestos o pueda averiguar de qué tipo de tela está hecha tu chaqueta.

Supongamos que otro estadio no se molesta en utilizar la tecnología de reconocimiento facial y, por tanto, no consigue evitar una amenaza importante.

¿Seria, entonces, ético desde nuestro punto de vista o desde la perspectiva de los responsables de los estadios de fútbol no utilizar la tecnología de reconocimiento facial u otra equivalente? Tal vez la ética nos obligue a enfocar el problema desde otros ángulos. Por otro lado, es cierto que no podemos abandonar el espíritu crítico necesario para analizar la cuestión con la profundidad que merece.

En esta serie de post analizaré la cuestión poniendo en relación diversos ejemplos y pruebas con esta tecnología y la legislación pertinente al respecto, mostrando sus ventajas e inconvenientes, lo que permitirá un análisis sosegado y basado en datos de una cuestión que afecta a un derecho fundamental como es la privacidad.

2) Los problemas de la privacy y el reconocimiento facial

Este estudio debe comenzar con una pregunta clave: ¿es el uso del reconocimiento facial proporcional a los riesgos que se pretende mitigar en los estadios? Probablemente el 99% de los aficionados van al estadio sólo para divertirse y disfrutar del fútbol. Entonces, ¿Merece la pena escanear a todo el mundo? Además, si tiene sentido aplicar el reconocimiento facial en un aeropuerto [1], ¿por qué no en un estadio de fútbol? ¿Cuál es la diferencia?

Tal vez todas estas preguntas sean inútiles y nuestra sensación de malestar choque con la realidad. Los estadios de fútbol más modernos son ya el paradigma físico de plataformas que, como Facebook, empiezan a conocernos muy bien, incluso cuando salimos del estadio. Lo curioso es que esta excesiva atención a nuestros datos puede incluso ser aceptada por nosotros con agrado si nos sentimos cuidados y mimados por el equipo de fútbol que amamos.

Pero lo cierto es que sólo experimentando con estas tecnologías es posible perfeccionarlas y comprender hasta qué punto pueden protegernos o hasta qué punto pueden poner en riesgo nuestros derechos fundamentales. Y como las pruebas ya se están realizando, hay que preguntarse: ¿Debemos acostumbrarnos a algo inevitable, o es el momento de poner freno a la embestida de estas tecnologías? ¿Estamos preparados para probar estas tecnologías con certeza y seguridad jurídica? ¿Cómo podemos implementar el reconocimiento facial en los estadios de fútbol de la manera más “fair” posible y sin violar la normativa vigente? ¿Es esto posible, o no, en suelo europeo?

Cada vez más, los avances tecnológicos nos enfrentan a un inevitable trade-off entre seguridad y privacidad. Tal vez no haya una única verdad, sino un equilibrio de derechos e intereses en juego, porque buscamos una solución que más que ninguna otra persiga de forma equilibrada la máxima expansión de todos los derechos y valores. Aclaremos ahora: ¿Qué entendemos por tecnologías de reconocimiento facial?

3) ¿Qué es el reconocimiento facial?

Según la CNIL, la autoridad francesa de protección de datos, el reconocimiento facial es una técnica que permite, a partir de las características faciales, autenticar a una persona, es decir, verificar que una persona es quien dice ser (en el contexto del control de acceso); o que permite identificar una persona, es decir, encontrar una persona en un grupo de individuos, en un lugar, una imagen o una base de datos.

En la práctica, el reconocimiento puede hacerse con imágenes fijas (fotos) o animadas (grabaciones de vídeo) y se realiza en dos etapas:

  1. A partir de la imagen, se crea un modelo o “plantilla” que representa, desde el punto de vista informático, las características de ese rostro. Los datos extraídos para componer esta plantilla son datos biométricos en el sentido del RGPD.
  2. La fase de reconocimiento se lleva a cabo comparando estas plantillas previamente creadas con las plantillas calculadas en vivo sobre los rostros de la imagen candidata.

En el caso de la autenticación, el sistema verifica si la identidad reivindicada es realmente la correcta comparando el modelo facial presentado con el modelo previamente registrado correspondiente a la identidad reivindicada. En el caso de la identificación, el sistema comprueba si el modelo de rostro presentado coincide con uno de los modelos contenidos en la base de datos. Los resultados de la comparación corresponden a aquel o aquellos con la mayor puntuación de similitud entre los que superan un determinado umbral predeterminado.

El reconocimiento facial no debe confundirse con la detección de rostros, que caracteriza la presencia o ausencia de un rostro en una imagen independientemente de la persona a la que pertenece. Esta técnica biométrica de reconocimiento automático de una persona, basada en las características de su rostro, no debe confundirse, por otra parte, con otras técnicas de tratamiento de imágenes (por ejemplo, con dispositivos de “vídeo inteligente” que pueden detectar eventos o emociones sin, a pesar de todo, reconocer a las personas), con las que a veces puede combinarse.

Sobre todo, hay una gran variedad de posibles usos detrás del “reconocimiento facial”, que van desde el desbloqueo de ordenadores hasta el reconocimiento de una persona buscada por la policía en una multitud, pasando por la apertura de cuentas bancarias. No todos estos usos plantean los mismos problemas, sobre todo en cuanto al control de los ciudadanos sobre sus datos personales. Por eso, como señala la CNIL, es necesario razonar caso por caso.

4) Los riesgos vinculados al reconocimiento facial

Por otro lado, es importante destacar los riesgos tecnológicos, éticos y sociales asociados al reconocimiento facial. Estos riesgos están relacionados con la naturaleza biométrica del reconocimiento facial. Cualquier violación de datos o uso indebido supondría riesgos importantes (bloqueo del acceso a un servicio, robo de identidad, etc.) El reconocimiento facial también se basa en una probabilidad, no en una certeza absoluta, de que las caras coincidan. Por tanto, los errores pueden tener consecuencias muy importantes para las personas. En el entorno digital actual, en el que los rostros de las personas están disponibles en múltiples bases de datos y son captados por múltiples cámaras, el reconocimiento facial puede convertirse en una herramienta especialmente omnipresente e intrusiva. Por lo tanto, según la CNIL, esta evaluación de riesgos es necesaria para determinar cuáles no son aceptables en una sociedad democrática y cuáles pueden tomarse con las debidas garantías.

Las dudas técnicas que ofrece esta tecnología llevaron ciertamente al Parlamento Europeo a publicar una resolución el pasado 21 de enero de 2021. sobre la inteligencia artificial y las cuestiones relacionadas con la interpretación y aplicación del Derecho internacional en lo que respecta a la UE en relación con los usos civiles y militares y la autoridad estatal fuera del ámbito de la justicia penal (2020/2013(INI)), que (56) pide a la Comisión que evalúe las consecuencias de una moratoria en el uso de los sistemas de reconocimiento facial y, en función del resultado de dicha evaluación, considere la posibilidad de introducir una moratoria en el uso de dichos sistemas por parte de las autoridades estatales en lugares públicos y locales educativos y sanitarios así como una moratoria en el uso de sistemas de reconocimiento facial por parte de las autoridades policiales en espacios semipúblicos como los aeropuertos, hasta que se considere que las normas técnicas son plenamente respetuosas con los derechos fundamentales, los resultados obtenidos estén libres de sesgos y discriminación, y existan estrictas salvaguardas contra el uso indebido que garanticen la necesidad y proporcionalidad del uso de dichas tecnologías.

Además, el 28 de enero de 2021, el Comité del Convenio 108 adoptó unas directrices sobre reconocimiento facial que proporcionan un conjunto de medidas de referencia que los gobiernos, los desarrolladores de reconocimiento facial, los fabricantes, los proveedores de servicios y las entidades que utilizan tecnologías de reconocimiento facial deben seguir y aplicar para garantizar que no afectan negativamente a la dignidad humana, los derechos humanos y las libertades fundamentales de ninguna persona, incluido el derecho a la protección de los datos personales.

Otros documentos de interés sobre este tema son: -Line 3/2019 sobre el tratamiento de datos personales a través de dispositivos de vídeo (EDPB) y el documento emitido por la Agencia de Derechos Fundamentales de la Unión Europea, titulado: Facial recognition technology: fundamental rights considerations in law enforcement (November 2019)

5) ¿Qué dice el RGPD sobre el reconocimiento facial?

El considerando 51 especifica que: El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. El artículo 4.14, por su parte, nos da la definición de datos biométricos“: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

Según el RGPD, los datos biométricos se consideran una categoría especial de datos personales. El artículo 9 del RGPD prohíbe expresamente el tratamiento de categorías especiales de datos personales sin una base jurídica especial o a menos que se aplique una excepción. Es posible procesar los datos biométricos sobre la base del consentimiento del interesado, sin embargo, esto puede ser difícil de aplicar en el contexto del proceso de entrada a un estadio de fútbol¸ a menos que el consentimiento se haya dado inequívocamente, por ejemplo, durante el proceso de compra de entradas para los partidos de fútbol en línea.

El artículo 9, apartado 2, del RGPD establece motivos adicionales en los que pueden basarse los clubes de fútbol para el tratamiento de categorías especiales de datos, incluidos los datos biométricos, como cuando el tratamiento es necesario por razones de interés público importante, basado en el Derecho de la Unión o de los Estados miembros, que debe ser proporcional a la finalidad perseguida, respetar la esencia del derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los derechos e intereses fundamentales del interesado.

 

Analizadas estas cuestiones más generales sobre la naturaleza y regulación del reconocimiento facial, en siguientes post entraremos al detalle, prestando especial atención a algunos casos en que ya se ha puesto en marcha en estadios.

 

NOTAS

[1] Reconnaissance faciale dans les aéroports : quels enjeux et quels grands principes à respecter ? | CNIL

 

LEA EL RESTO DE POST DE LA SERIE: