Así se queda Meta con tus rasgos faciales

Artículo

Fran Sánchez Becerril

@fransanchezbe

Ha pasado un año desde que Facebook anunciara que iba a cerrar su sistema de reconocimiento facial. Un gesto que supuso el borrado de datos de las caras de más de mil millones de personas –un tercio del total de usuarios– que se utilizaban para el etiquetado automático en fotografías. Para Meta, la matriz de la red social, esta decisión supuso «uno de los mayores cambios en el uso del reconocimiento facial en toda la historia». Una historia de recopilación de datos biométricos bastante corta.

La tecnología para la detección de caras de la red social llevaba varios años activa, protagonizando numerosos debates sobre la privacidad, ante la idea de que el gigante tecnológico estadounidense almacenase algo tan personal como un rostro. A pesar de que pareciese que con esta acción cerraban una controversia sobre la protección de datos, en realidad lo que hicieron fue un lavado de imagen, según consideran los expertos: Meta tan solo detuvo el sistema que permitía que al subir una imagen apareciese directamente la opción de etiquetar a nuestros contactos. En contraposición, por ejemplo, mantienen el sistema de reconocimiento facial para casos como verificar la identidad de usuarios con una cuenta bloqueada.

La empresa mantiene el sistema de reconocimiento facial para casos como la verificación de identidad de usuarios con cuentas bloqueadas

La propia empresa reconocía en el comunicado que su intención era seguir utilizando la identificación biométrica: «De cara al futuro, seguimos viendo la tecnología de reconocimiento facial como una herramienta poderosa, por ejemplo, para ayudar a las personas a verificar su identidad o para prevenir fraudes y suplantación de identidad».

Y añadía: «Creemos que el reconocimiento facial puede ser útil para productos como estos, con las medidas de privacidad, transparencia y control necesarias. Así, siempre serás tú quien decida si se usa tu rostro y cómo se hace. Seguiremos trabajando en estas tecnologías y consultando a expertos externos». Asimismo, Meta hacía hincapié en las bondades del reconocimiento facial como «tener acceso a una cuenta bloqueada, verificar su identidad en productos financieros o desbloquear un dispositivo personal».

Sin embargo, esta no es la única empresa que gestiona datos biométricos que nosotros mismos proporcionamos con la cámara del móvil. En el desbloqueo del smartphone con una mirada o la posibilidad de confirmar una operación bancaria con nuestro rostro también entra en juego la gestión de nuestros datos más personales.

Una legislación muy laxa

Teniendo en cuenta la cantidad de compañías que actualmente tienen acceso libre a nuestros rasgos faciales, cabe preguntarse qué es lo que pueden hacer con ellos y qué derechos tenemos. La legislación al respecto es muy laxa –acogiéndose a la ley general de protección de datos– y establece principalmente dos requisitos clave para recopilar los datos biométricos de una persona: dar información previa al usuario y que este dé el consentimiento.

En el texto informativo «se deberá informar del plazo de tiempo durante el cuál se va a conservar el dato del escaneo del rostro y la existencia de una serie de derechos como por ejemplo el de acceso [poder pedirle a quién me los pida que en el futuro me diga qué datos tiene míos]», explica el abogado especializado en ciberseguridad Samuel Parra. Además, la legislación también establece que terceras partes no podrán utilizar los datos biométricos otorgados y que, dentro de ese derecho de acceso, cada uno podrá exigir a las empresas tecnológicas que eliminen sus datos recopilados.

Los riesgos reales

Aparentemente, todo está seguro, pero el experto en ciberseguridad apunta a que existe «la posibilidad de que se llegue a acceder por terceros no autorizados a la base de datos del responsable que tiene alojadas miles o millones de rostros asociados a un perfil concreto». Parra también contempla el riesgo de un ciberataque, dado que el robo de datos de rostros de millones de usuarios haría aún más peligrosos los casos de suplantación de identidad: «Si utilizamos el rostro como medio de identificación y autenticación [como si fuese nombre de usuario y la contraseña] y hackean la base de datos que contiene esta información, ¿cómo cambiamos ese nombre de usuario y contraseña? No podemos, el rostro, como otros datos biométricos son inmutables».

Parra: «Si utilizamos el rostro como medio de autenticación y ‘hackean’ la base de datos que contiene esta información, ¿cómo cambiamos ese nombre de usuario y contraseña?»

En abril de 2021 la Unión Europea anunció la nueva regulación sobre el reconocimiento facial en el marco de sus Nuevas reglas para la Inteligencia Artificial, pero estas estaban enfocadas a la tecnología biométrica en espacios públicos y como herramientas para identificación individual para cuestiones de seguridad. Sobre el almacenamiento de los datos que las empresas han obtenido con la cámara de nuestro móvil, la regulación europea solo establece que hay que hacer una evaluación de impacto previa.

Pero, en realidad, este reglamento «no establece ninguna lista concreta», explica Parra. No señala qué hacer con esos datos, sino los objetivos que debe perseguir quien los proteja y para lograr esa protección: «El responsable del tratamiento debería implementar sistemas de anonimización o pseudonimización y cifrado de los datos, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento».