Cuando una persona camina por la calle, los demás peatones no conocen su nombre, su profesión, su lugar de residencia, si tiene hijos o lo que acaba de publicar en línea. Sin embargo, si una cámara ubicada en una esquina captura su rostro, la entidad responsable de dicha cámara podría llegar a saber todo eso, aunque de manera ilegal, siempre que esté equipada con una herramienta avanzada de biometría facial y que tenga acceso a una vasta base de datos en Internet.
Este es precisamente el tipo de operación que lleva a cabo una de las compañías más enigmáticas que existen, la estadounidense Clearview AI. Con una base de imágenes que actualmente excede los 40.000 millones (lo que equivale a una media de cinco fotografías por cada humano del planeta) ha transformado el vasto océano de fotos en Internet en una mina de oro de reconocimiento facial, construyendo lo que se convertiría en un atlas de rostros humanos más extenso del mundo. El mapa reúne, además, un perfil digital individuo; dónde han sido publicadas las fotos y el contenido relacionado con ella.
A través de un sofisticado algoritmo de reconocimiento facial, la empresa afirma que puede identificar a esas personas con una precisión del 99,85%. Pero su programa ha tenido fallos, entre ellos destacan los sesgos raciales y la identificación equivocada de personas. Pese a ello, la empresa ha vendido su tecnología a gobiernos, fuerzas de seguridad y grupos de poder económicos y políticos hasta que ha caído en batallas legales y judiciales. En la Unión Europea está prohibida, pero en Estados Unidos sigue operando en gran parte de los estados.
El director adjunto la organización no partidista y sin fines de lucro que busca promover los derechos y libertades civiles en la era digital Centro de Democracia para la Tecnología (CDT), Jake Laperruque, explica que el mayor problema de ClearviewAI radica en la forma con que ha tenido acceso a tantos rostros. Sin consentimiento explícito de los usuarios ni de las plataformas, la empresa ha hecho una recopilación masiva de imágenes faciales en Internet, que incluye portales de noticias, blogs, páginas webs y redes sociales como Facebook, Instagram e Twitter. Eso viola los derechos de privacidad según las normas de la Unión Europea, pero no hay una normativa a nivel federal que la prohíba en Estados Unidos. Su gigantesca base de datos es lo que la hace tan atractiva para los agentes de seguridad, especialmente aquellos de niveles más bajos, como sería la policía local. Ninguna fuerza del país norteamericano, ni siquiera el FBI, tiene tantas caras en un sistema.
Desde ClearviewAI defienden que el objetivo de su tecnología es ayudar a identificar criminales, agresores y fugitivos. Pero, en la práctica, ha sido empleada para muchas otras cosas, desde hurtos menores en comercios hasta en la identificación de participantes de manifestaciones. En su sitio web, muestran cómo ha facilitado el reconocimiento de quienes participaron en el asalto al Capitolio, y, más recientemente, esta compañía ha permitido nombrar soldados rusos, tanto vivos como fallecidos, en suelo ucraniano.
Con la capacidad casi que heroica en identificar a cualquiera, Clearview ha encendido un faro de controversias éticas y legales que van más allá que cómo se obtuvieron los datos. Su uso por parte de las fuerzas del orden público somete a los ciudadanos a una vigilancia policial, donde la privacidad individual se ve erosionada y la presunción de inocencia se debilita. Según Laperruque, que dirige el Proyecto de Seguridad y Vigilancia del CDT, dado que la empresa otorga licencias gratuitas para usar su programa, cualquier oficial de policía podría probarla, aun si la agencia donde trabaja no haya contratado el sistema.
Eso plantea riesgos considerables porque la mayoría de los oficiales no tiene conocimiento sobre cómo funciona la tecnología o cuánta credibilidad dar a una coincidencia en función de la calidad de la imagen. En general, no saben hacerle un uso responsable, lo que acaba dando lugar a errores. “Hay documentos sobre un número significativo de agencias que no necesariamente tienen contratos con Clearview, pero sus oficiales lo han usado a nivel individual”, dice a Retina por videoconferencia.
El experto aboga por aprobar nuevas leyes que impidan al Gobierno estadunidense comprar o utilizar datos que se hayan obtenido de manera ilegal o en violación de los términos de servicio. También propone que esas herramientas sean utilizadas solamente contra individuos sospechosos de crímenes graves y no para identificar personas en manifestaciones pacíficas, por ejemplo. El experto añade: “Además, hay que informar a las personas que han sido arrestadas de que se utilizó el reconocimiento en su caso, tanto como una forma de otorgarles sus derechos básicos para defenderse y ver si esta tecnología falló, como también para desincentivar el uso inapropiado o negligente. Es para que no se convierta en algo severo, como hemos visto en China, donde el reconocimiento facial se usa para imponer por cosas menores”.
Pese a que la normativa europea prohíbe la utilización de la herramienta de Clearview AI al sector público y privado, eso no impide que la empresa mantenga imágenes de ciudadanos europeos en su base de datos. La abogada y experta en ciberseguridad Paloma Llaneza aclara que los españoles cuyas imágenes figuren en la base de datos de Clearview tienen derecho a solicitar su eliminación. Esto se debe a que el Reglamento General de Protección de Datos (RGPD) se aplica a cualquier empresa extranjera que ofrezca servicios dentro de Europa. La experta señala: “Tenemos el derecho al olvido y el derecho de cancelación. Si una empresa ha recogido mis datos y yo quiero borrarlos, incluso si he dado mi consentimiento, los tendría que borrar”.
Con respecto a los servicios de seguridad en España, explica que no pueden acceder a sistemas similares al de Clearview AI. Lo que sí emplean es la base de datos del DNI o del carné de conducir para realizar verificaciones de identidad en la búsqueda de sospechosos. “No se trata de una herramienta de reconocimiento biométrico. Apenas se busca a ver quién se parece”, detalla Llaneza. Además, las cámaras de seguridad instaladas en las ciudades están reguladas por la Ley Española de Protección de Datos, que impone una serie de condiciones, por ejemplo, la obligación de eliminar las grabaciones después de un mes y la ejecución de análisis biométricos en tiempo real se considera “excesiva”.
La experta menciona la sanción de 2,5 millones de euros impuesta a Mercadona en 2020, cuando la cadena de supermercados implementó un proyecto piloto que permitía recopilar datos biométricos de sus clientes a través de cámaras con la excusa de identificar a los individuos con orden de alejamiento. “Si quieres impedir que dos o diez personas entren a robar a tu tienda y para ello escaneas la cara de todos, excedes la finalidad pretendida. No lo puedes hacer de acuerdo al interés legítimo, sino que tienes que hacerlo con otra base de legitimación, que tendría que ser el consentimiento, y aun así sería excesivo”, explica la abogada.
MÁS EMPRESAS EN EL CAMPO
Las agencias de protección de datos de países como Francia, Italia y Grecia impusieron multas de alrededor de 20 millones de euros cada contra Clearview AI, y ordenador la eliminación de los datos procesados de sus ciudadanos. Con eso, la compañía ha dado un paso atrás y no planea establecer operaciones en el mercado europeo, en Australia y Canadá. No obstante, hay otras empresas similares disponibles.
Es el caso de PimEyes, un sitio web que permite buscar rostros usando una fotografía como referencia de forma gratuita. Al subir una o varias imágenes y aceptar los términos del servicio, el sitio muestra una serie de rostros similares, acompañados de enlaces a sus ubicaciones en Internet. En una prueba realizada por esta periodista, el sitio identificó correctamente todas las imágenes y sus direcciones. Pero al aumentar el número de fotos subidas, pasó a proponer imágenes incorrectas, de otras personas.
La empresa británica Facia.AI ofrece un servicio que encuentra coincidencias con fotografías de un número limitado de celebridades en su página web, pero promete ofrecer a sus clientes una base de datos mucho más extensa. También está la estadounidense Palantir, que existe desde hace dos décadas. Su financiación original provino de la CIA, y gran parte de su negocio se centra en proporcionar software a agencias militares, de seguridad, de inteligencia y policiales de Estados Unidos y Reino Unido. Según Llaneza, se trata de una de las empresas más “oscuras del mundo”, cuyo cofundador, Peter Thiel, ha sido uno de los principales contribuyentes a la campaña de Donald Trump.
Laperruque opina que “las características únicas que hacen Clearview AI ser especialmente problemática”, no se trata del único proveedor de reconocimiento facial que se utiliza a gran escala y cuyo uso ha generado serias preocupaciones. El experto concluye: “Incluso si la sacaras del mercado, y creo que hay algunas razones que lo justificarían, el reconocimiento facial sigue siendo una preocupación grave de derechos y libertades civiles. Necesita reglas y salvaguardias independientemente del proveedor”.
Y para aquellos que defienden que no hay que preocuparse por la vigilancia cuando no se tiene nada a ocultar, Llaneza recuerda que los datos no son un bien individual, sino un bien colectivo y social, especialmente porque las máquinas requieren de grandes cantidades de datos y de muchas personas para ser entrenadas. Además, esa visión de ‘si no tienes nada que ocultar, no tienes nada que temer’ es típica de los gobiernos totalitarios, los cuales minimizan el derecho a la libertad individual.
