Cómo está regulado el reconocimiento facial y cómo debería estarlo ahora que va a ser masivo

La tecnología Face ID que Apple ha integrado en el iPhone X ha demostrado que el registro facial puede ser una alternativa clara para el tradicional leedor de huellas, pero con su apadrinamiento ha aparecido una nueva amenaza a la privacidad.

Que esos datos acaban en malas manos podría ser triste, poco que nos lleva a preguntarnos cuál es la regulación contemporáneo al respecto. Hemos hablado con dos expertos que nos han ayudado a aclarar qué pueden hacer y qué no los fabricantes como Apple en esa integración de la tecnología.

El iPhone X y Face ID como referentes de una tendencia de futuro

La inclusión de esta tecnología en el iPhone X es sin duda la que ha rajado el debate sobre las implicaciones que el registro facial tiene para la privacidad y la seguridad.

No es desde luego un debate nuevo, porque en estos últimos primaveras hemos ido viendo cómo estos sistemas se iban integrando sobre todo en el ámbito de la seguridad ciudadana.

Hay proyectos gigantescos en China (hablamos de ese caso concreto más delante), pero igualmente en Canadá, Alemania, Gran Bretaña o Australia, donde quieren sustituir el control de pasaportes por un control basado en registro facial. Empresas como Microsoft y Facebook igualmente parecen especialmente interesadas en este ámbito, y es sabido que agencias de inteligencia como el FBI mantienen bases de datos con millones de rostros.

Sin bloqueo ha sido la presentación del iPhone X la que ha reavivado ese debate sobre privacidad y seguridad. Los responsables de la empresa tuvieron que reaccionar a críticas los riesgos potenciales para la privacidad que expresaron con vehemencia personalidades del panorama político estadounidense como el senador Al Franken, y publicaron un noticia sobre la seguridad de Face ID (PDF) en noviembre de 2017 aclarando la tecnología.

En ese documento se explicaba por ejemplo cómo los datos relacionados con Face ID nunca abandonan el teléfono del afortunado, y los desarrolladores que quieran integrar autenticación basada en Face ID siquiera tendrán comunicación a esos rostros indemne para esa función. La API de autenticación simplemente da una respuesta positiva o negativa tras comparar la señal de entrada (un rostro, se supone) con los datos del rostro escaneado por Face ID y almacenado en el insigne Secure Enclave.

En el iPhone X los datos relacionados con Face ID nunca abandonan el teléfono del afortunado

Tampoco se guardan los datos de los rostros que se intentan usar para ser autenticados: si un amigo intenta usar tu iPhone X por probar su cara no quedará registrada en ningún caso, porque como explicaba Apple, “las imágenes de rostros capturados durante operaciones de desbloqueo normales no se salvan, sino que se descartan inmediatamente después de que la representación matemática se calcule para compararla con los datos integrados en Face ID”.

Los expertos lo confirman: la cara es un antecedente personal

Para analizar este ámbito en profundidad tuvimos la oportunidad de contar con la colaboración de dos de los expertos con más experiencia en el campo de la privacidad y la protección de datos en nuestro país.

Samuel Parra Xtk

Samuel Parra (@Samuel_parra) es un jurista especializado en estos campos desde 2001. En 2006 inició un blog personal dedicado a estos temas que fue premiado por su trayectoria por parte de la Agencia de Protección de Datos de la Comunidad de Madrid. Su experiencia en temas de transparencia es igualmente destacable, como demuestra el tema que preparó para Xataka en marzo de 2016 sobre el debate de los iPad en el Congreso de los Diputados.

Por su parte, Sergio Carrasco (@sergiocm) es Licenciado en Derecho e Ingeniero Técnico de Telecomunicaciones, y igualmente lleva primaveras centrándose en el derecho tecnológico y la protección de datos. Es co-fundador de Derecho en Red, una iniciativa dirigida a ofrecer “información rigurosa y precisa sobre el Derecho de las Nuevas Tecnologías”.

Sergio Carrasco Xtk

Comenzábamos preguntándoles a entreambos por el tipo de consideración legítimo que tiene el registro facial que se empieza a gastar en dispositivos como el iPhone X. ¿Es la cara un antecedente personal? Para Samuel Parra era conduntende: “Sin duda”. Tanto en nuestro país como en la Unión Europea, aclaraba, el antecedente personal es “cualquier información sobre una persona que la identifique del resto. Por ejemplo, la voz es igualmente un antecedente personal o incluso la silueta de la persona siempre y cuando, como digo, permita la identificación de la persona.”

Sergio Carrasco estaba de acuerdo con su colega, y igualmente comparaba la cara con “las imágenes, las siluetas o la voz” a las que aludía Parra. Añadía que es necesario rememorar “cuál es el uso para el cual se realiza dicha captura: la identificación del afortunado concreto que (en principio) se encuentra utilizando el dispositivo”.

Informar y obtener consentimiento para el registro facial

Este sistema biométrico que parece el futuro de los iPhone y que podría tumbarse a algunos smartphones basados en Android no se puede usar a la ligera. Parra destacaba que el registro facial se podrá usar bajo dos requisitos: “información previa al afortunado y su consentimiento“.

Snapchat El consentimiento es uno de los requisitos fundamentales para trabajar con tecnologías de registro facial: el afortunado debe aceptar de forma expresa que una aplicación o servicio pueda ingresar a esos datos, que por ejemplo en el iPhone X siguen estando seguros: el desarrollador de la aplicación no accede a nuestro rostro como tal, sino a una confirmación de autenticación. Para otros usos como los animojis o para aplicaciones como Snapchat, la información a la que se accede no es la completa del registro facial, sino que se trabaja con una imagen y datos más limitados, como los que usamos en cámaras frontales de forma convencional en móviles, tabletas o portátiles, por ejemplo.

Es por esa razón por la que cualquier dispositivo que aproveche esta tecnología debe avisar e informar al afortunado de “para qué se va a utilizar su rostro (esto es, las finalidades del tratamiento), quién va a tratar el dato (es decir, quién es la persona o empresa que me está escaneando la cara) así como los destinatarios, si los hubiere, del dato (si se van a facilitar a un tercero o no)”.

La regulación establece dos requisitos esencia para poder usar registro facial: dar información previa al afortunado y pedir consentimiento

Esa información deberá igualmente tener en cuenta otros apartados, como explicaba el jurista. “se deberá informar el plazo de tiempo durante el cuál se van a conservar el antecedente (el escaneo del rostro), la existencia de una serie de derechos como por ejemplo el de comunicación (poder pedirle a quién me los pida que en el futuro me diga qué datos tiene míos).

Sergio Carrasco, no obstante, recordaba las “excepciones existentes en materia de seguridad (como sucede con las cámaras de seguridad, por ejemplo)”. Es en este proscenio en el que nos encontramos casos como el de la red de 20 millones de cámaras que China ha situado en diversas ciudades de su geogonia.

China

Esa red citación Skynet (sí, como esa Skynet) no solo ve lo que pasa: “sabe” lo que pasa gracias a un sistema de registro facial combinado con machine learning que está orientado a combatir el crimen y el terrorismo en este país. Las implicaciones para la privacidad quedan una vez más en el olvido delante la eterna excusa de la seguridad franquista.

En esos casos excepcionales se asume que tanto informar a los usuarios como obtener su consentimiento de forma directa y unívoca deja de ser un requisito imprescindible. La amenaza a nuestra privacidad es evidente en estos casos, pero como añadía Carrasco, “por defecto, el tratamiento de datos de terceros requiere el consentimiento del titular de los mismos, con lo cual salvo que tengamos alguna excepción a la que acogernos, este es el requisito esencial”.

En casos excepcionales la excusa de la seguridad franquista se superpone a la protección de la privacidad de los usuarios

Samuel Parra iba más allá en ese segundo requisito del consentimiento, y destacaba que nuestro rostro es un antecedente personal especialmente delicado, y la reglamento lo ha querido proteger con maduro cuidado. Por ejemplo, a la hora de su tratamiento:

De entrada, la reglamento prohíbe directamente el tratamiento de este tipo de datos personales, a no ser que se de alguna excepción. Una de esas excepciones es que el interesado otorgue su consentimiento visible para su tratamiento (y ojo que la reglamento permite que cualquier Estado establezca que ni con el consentimiento se pueden tratar estos datos).

Amenazas a la privacidad

Los defensores de la privacidad ven una amenaza exclusivo en ese registro facial que teóricamente permite construir una gigantesca colchoneta de datos con millones y millones de rostros.

Preguntabamos a nuestros expertos por esa amenaza, y Parra intuía que una de las más evidentes es “la posibilidad de que se llegue a ingresar por terceros no autorizados a la colchoneta de datos del responsable que tiene alojadas miles o millones de rostros y asociados a un perfil concreto”. Combinados con otros datos ya asociados a ese rostro convertiría haría que como explicaba este habituado esa información fuera “muy golosa”.

La publicidad personalizada es igualmente otro de los ámbitos en los que ese registro facial podría irse de las manos. La cuadro de ‘Minority Report’ en la que Tom Cruise pasea por un centro comercial y la publicidad se ajusta a su perfil no parece estar tan allí de nuestra verdad.

Como matizaba Parra, “las posibilidades son infinitas. De hecho no me extrañaría que en poco tiempo veamos comercios físicos que te identifican por el rostro directamente y te cobran la transacción al salir a tu cuenta asociada, sin producirse por un cajero”, poco que sería una extensión de esa tienda sin personal humano que Amazon Go acaba de inaugurar en Seattle.

Enclave

Ese es precisamente uno de los posibles escenarios con los que nos encontraremos pronto: puede que Apple sí se esmere en proteger esos datos, pero, ¿qué garantías nos ofrecerán desarrolladores de terceras partes?

Los términos de uso de las herramientas de exposición de iOS especifican que las aplicaciones deben pedir permiso para ingresar a la cámara, y adicionalmente deben prohibir que los datos del registro facial se usen para fines publicitarios.

El aventura de un robo de datos con rostros de millones de usuarios haría aún más peligrosos los casos de suplantación de identidad

La propia Apple aclaró las dudas en este ámbito con un documento especial de su colchoneta de conocimiento en el que detalla las medidas que ayudan a proteger los datos relacionados con ese registro facial, pero los riesgos están ahí si aplicaciones maliciosas logran entrar en la App Store.

Esa aplicación publicitaria de la que hablábamos antaño parece casi aceptable en comparación con esa otra amenaza vivo que nos plantea un posible ciberataque, poco a lo que apuntaba este jurista:

Si utilizamos el rostro como medio de “identificación” y “autenticación” (esto es como nombre de afortunado y contraseña), si “hackean” la colchoneta de datos que contiene esta información ¿cómo cambiamos ese nombre de afortunado y contraseña? No podemos, el rostro como otros datos biométricos son inmutables.

Es en este postrero ámbito en el que Sergio Carrasco igualmente veía más peligro, ya que “muchas aplicaciones han incluido la posibilidad de almacenar contraseñas y desbloquear aplicaciones directamente a través de la lectura de huellas o del iris”. El problema es que si un ciberatacante logra saltarse esos controles, “podría interpretar bajo la apariencia del afortunado cierto“, y las implicaciones son evidentes ahora que cada vez tenemos más información privada y sensible en esos móviles que están integrando la tecnología y que podrían hacerlo aún de forma más frecuente en el futuro.

La regulación establece objetivos, no obligaciones

Esta tecnología ha hecho necesario que la reglamento tenga en cuenta este tipo de realidades y amenazas, y como explicaba Samuel Parra “El Reglamento Europeo de Protección de Datos establece que para el tratamiento de este tipo de datos es necesario realizar previamente una evaluación de impacto“.

Gdpr

De esa evaluación es de la que salen las medidas de seguridad a establecer, pero este reglamento “no establece ninguna repertorio concreta“. De hecho es el responsable de quien integra esa tecnología (en el caso del iPhone X, Apple) el que debe poner en marcha medidas que garanticen que la evaluación del impacto es positiva.

Esto es: la regulación contemporáneo no marca qué hacer con esos datos, sino los objetivos que debe perseguir quien los proteja. Para conseguir esa protección “el responsable del tratamiento debería implementar sistemas de anonimización o seudonimización y criptográfico de los datos; la capacidad de certificar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.

La regulación contemporáneo no marca qué hacer con esos datos, sino los objetivos que debe perseguir quien los proteja

Sergio Carrasco nos recordaba cómo en el caso de Apple, la tecnología Face ID hace uso de un sistema que hace que “este tipo de datos biométricos se almacenan en partes específicas del dispositivo especialmente protegidas contra ataques”. Como explicaban nuestros compañeros de Applesfera, esa información “se sigla y protege con una esencia que solo es accesibel por el Secure Enclave y no por el resto del sistema operante“.

Esa regulación está preparada para adaptarse a la progreso de las tecnologías biométricas de identificación, concluía Carrasco, que nos tranquilizaba recordándonos que “debemos tener en cuenta el bagaje ya existente” y que el Reglamento de Desarrollo de la LOPD incluye medidas a adoptar dependiendo del antecedente.

Facial3

Samuel Parra nos explicaba adicionalmente cómo la regulación europea (RGPD) y la española (LOPD) se alinean: la LOPD se está reformando “porque colisiona con lo que dice el RGPD”, explicaba, y debe adaptarse a la reglamento de la Unión Europea.

“La RGPD dice que la edad mínima para consentir el tratamiento de datos es de 16 años”, explica, “pero permite que los Estados miembros bajen esa vida hasta los 13 primaveras como mucho; en el caso de España, se ha decidido por establecer la minoría de vida para consentir el tratamiento de datos en los 13 primaveras, esto significa que un criatura de 13 primaveras puede consentir al tratamiento de su rostro pero no uno de 12 primaveras”.

“El mayor reto que tiene esta regulación es sencillamente que se cumpla”

En la LOPD y la RGPD no hay un apartado específico sobre el registro facial, pero “sí habla de datos biométricos identificativos (como el rostro)”. El Grupo del artículo 29 de la RGPD sí tiene algunas recomendaciones, y lo mismo ocurre con el Dictamen 3/2012 sobre la progreso de las tecnologías biométricas (PDF).

Para Parra “no es necesario refrescar la LOPD, ya que se prevé este tema en el RGPD“, y de hecho el problema no es en verdad la regulación. Como él confiesa, “el maduro duelo que tiene esta regulación es sencillamente que se cumpla“.

Lo mismo opinaba Carrasco, que señalaba que “la contemporáneo Ley es adecuada para regular este tipo de tratamientos, y hay que tenerla en cuenta a la hora de desarrollar nuevas tecnologías. Es posible realizar cambios en la norma para contemplar expresamente determinados supuestos, pero teniendo claro que no existe una lago actualmente”.

Facial2

La Comisión Europea publicó adicionalmente un comunicado en mayo de 2017 en el que indicaba que la reforma del paquete de medidas para la protección de datos personales entrará en vigor de 2018 y habilitará un “refuerzo de los derechos individuales“.

Se tratan temas como el derecho al olvido (los usuarios podrán eliminar sus datos de esas bases de datos “si no existen motivos legítimos para conservarlos”, el comunicación a los datos personales y a su portabilidad (para moverlos entre distintos proveedores), e incluso se requiere que las empresas y organizaciones hagan memorizar a sus usuarios si sus datos se han pasado comprometidos en un ciberataque.

La regulación, insistimos, parece estar aceptablemente preparada en este ámbito en España y la Unión Europea. Ahora el turno es de los fabricantes y desarrolladores, que deben hacer un esfuerzo importante por ofrecer esta tecnología pero siempre respetando la seguridad y privacidad de los usuarios.

Imagen | Unsplash
En Xataka | Las claves de los sistemas de reconocimiento facial: ¿cuál es su verdadero nivel de seguridad?


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales