Un nuevo informe del AI Now Institute ha analizado ocho enfoques regulatorios para la tecnología biométrica y sus conclusiones no son muy esperanzadoras. Su directora de Estrategia Global y Programas, Amba Kak, explica los peligros de esta tecnología y de que no se legisle correctamente
Amba Kak estudiaba derecho en India cuando en 2009 el país lanzó el proyecto Aadhaar. Iba a ser el sistema nacional de identificación biométrica, pensado como un programa de identidad integral, recogía huellas dactilares, escaneos de iris y fotografías de todos los residentes.
Recuerda que no pasó mucho tiempo antes de que los testimonios sobre sus devastadoras consecuencias comenzaran a extenderse. Kak cuenta: "De repente empezamos a escuchar noticias de cómo las huellas dactilares de los obreros, que trabajaban con sus manos, fallaban en el sistema y se les negaba el acceso a las necesidades básicas. De hecho, se produjeron muertes por inanición en la India vinculadas a las barreras que creaban estos sistemas de identificación biométrica. Así que fue un tema realmente crucial".
Esos casos la llevaron a investigar los sistemas biométricos y cómo la ley podría responsabilizarlos. Kak, quien actualmente dirige la Estrategia Global y Programas del AI Now Institute, el 2 de septiembre publicó un nuevo informe en el que detalla ocho estudios de casos sobre cómo se regulan los sistemas biométricos en todo el mundo. Abarcan esfuerzos locales, autonómicos, nacionales y globales, así como algunos de distintas organizaciones sin ánimo de lucro. El objetivo es generar una comprensión más profunda de cómo funcionan los diferentes enfoques y cómo mejorarlos. Hablé con Kak sobre qué había aprendido y cómo deberíamos seguir adelante.
¿Qué motivó este proyecto?
La tecnología biométrica está proliferando y normalizándose, tanto en el ámbito gubernamental como en nuestra vida privada. Este año, ya se han controlado protestas mediante reconocimiento facial en Hong Kong (China), Nueva Delhi (la India), Detroit y Baltimore (ambas en EE. UU.). Los sistemas de identificación biométrica, de los que se habla menos, donde la biometría se utiliza como condición para acceder a los servicios sociales, también se han multiplicado en los países de ingresos bajos y medios de Asia, África y América Latina.
Pero lo interesante es que el rechazo de estos sistemas también está en su apogeo. La actividad en este campo está recibiendo más atención que nunca. Entonces, la pregunta sería: ¿Qué papel desempeñan las leyes y las políticas? Ahí es donde se centra este trabajo. Este informe intenta mostrar qué podemos aprender de estas experiencias en un momento en el que parece que hay mucho interés en una mayor regulación por parte de gobiernos y de grupos de defensa de estos sistemas.
¿Cuál es la situación actual sobre la regulación biométrica a nivel mundial? ¿Están maduros los marcos legales para gestionar esta tecnología emergente?
Hay alrededor de 130 países en el mundo que tienen leyes de protección de datos. Casi todos incluyen los datos biométricos. Así que, si la pregunta es si existen las leyes para regular los datos biométricos, entonces la respuesta sería que sí, en la mayoría de los países.
Pero cuando se profundiza un poco más, ¿cuáles son las limitaciones de cada ley de protección de datos? Una ley de protección de datos puede, como mucho, ayudar a regular cuándo se usan los datos biométricos y garantizar que no se usen para fines para los que no se otorgó el consentimiento. Pero las cuestiones como la precisión, la discriminación, esos problemas aún no han recibido mucha atención legal.
Por otro lado, ¿qué pasaría si se prohibiera completamente esta tecnología? Lo hemos visto en EE. UU. a nivel municipal y estatal. Creo que la gente a veces olvida que la mayor parte de esta actividad legislativa se ha centrado en el uso público y, más concretamente, en el uso de la policía.
Por lo tanto, tenemos una combinación de leyes de protección de datos que proporciona algunas garantías, pero es inherentemente limitada. Y luego está la acumulación de estas moratorias.
¿Qué puntos en común ha encontrado en estos estudios de caso?
Para mí, el más claro fue el capítulo sobre la India de Nayantara Ranganathan, y otro escrito por Monique Mann y Jake Goldenfein sobre la base de datos australiana de reconocimiento facial. Ambos casos son arquitecturas estatales masivas centralizadas donde el objetivo era eliminar los silos técnicos entre diferentes estados y otros tipos de bases de datos, y asegurarse de que estas bases de datos estén vinculadas de forma centralizada. Así que se creó esta enorme construcción centralizada de datos biométricos. Luego, como un remedio para este gran problema, se dijo: "Está bien, tenemos una ley de protección de datos, que implica que los datos nunca deben usarse para un propósito que no fue contemplado o anticipado". Pero, mientras tanto, se está cambiando la expectativa de lo anticipado. Ahora, la base de datos que se utilizaba en el contexto de la justicia penal se utiliza en el ámbito de inmigración.
Por ejemplo, [en EE. UU.] el Servicio de Inmigración y Control de Aduanas de Estados Unidos (ICE, por sus siglas en inglés) está usando o intenta usar las bases de datos del el Departamento de Vehículos Motorizados (DMV, por sus siglas en inglés) en diferentes estados en el proceso de aplicación de la ley de inmigración. Pero, se trata de bases de datos creadas en un contexto civil y están tratando de usarlas para la inmigración. De manera similar, en Australia existe esta base de datos gigante, que incluye datos de permisos de conducir, y que ahora se utilizará para fines ilimitados de justicia penal, y donde el Ministerio del Interior tendrá un control total.
De forma parecida, en la India crearon una ley, pero la norma cedió la mayor parte del control al organismo que generó la base de datos. Entonces creo que a partir de estos tres ejemplos, lo que queda claro es que hay que interpretar la ley en el contexto de los actuales movimientos políticos más amplios. Si tuviera que resumir la tendencia más general, se trata de la bursatilización de todos los aspectos de la gobernanza, desde la justicia penal hasta la inmigración y el bienestar, y coincide con el impulso por la biometría. Ese es uno de los puntos comunes.
Otro de ellos, y esta es una lección que seguimos repitiendo, es que el consentimiento como herramienta legal está muy devaluado, y definitivamente en el contexto de los datos biométricos. Pero eso no significa que sea inútil. El capítulo sobre el BIPA [la Ley de Privacidad de la Información Biométrica] de Illinois (EE. UU.) de Woody Hartzog explica que es genial que hayamos tenido varias demandas exitosas contra las empresas que se basaban en BIPA, la más reciente con Clearview AI. Pero no podemos seguir esperando que "el modelo de consentimiento" produzca un cambio estructural. Nuestra solución no puede depender de que el usuario sepa más que nadie; el usuario le dirá a Facebook que no quiere que se recopilen sus datos faciales. Pero puede que no lo haga, y la responsabilidad de tomar esa decisión no debería recaer sobre el individuo.
Esto es algo que la comunidad de la privacidad ha aprendido de la manera más difícil, razón por la cual las leyes como el RGPD no se basan solo en el consentimiento. También existen reglas estrictas que dicen: si ha recopilado datos por una razón, no puede usarlos para otro propósito. Y no puede recopilar más datos de los absolutamente necesarios.
¿Hay algún caso cuyo método de la regulación de la biometría parezca especialmente prometedor?
Sí y, como era de esperar, no es un país ni un estado. Es el Comité Internacional de la Cruz Roja [CICR]. En el informe, Ben Hayes y Massimo Marelli, ambos representantes del CICR, escribieron un artículo reflexivo sobre cómo decidieron que existía un interés legítimo en utilizar la biometría en el contexto de la distribución de ayuda humanitaria. Pero también reconocieron que había muchos gobiernos que los presionarían para acceder a esos datos con el fin de perseguir a estas comunidades.
Así que tenían un dilema muy real y lo resolvieron así: queremos crear una política biométrica que minimice la retención real de los datos biométricos de las personas. Entonces, lo que haremos será ofrecer una tarjeta en la que los datos biométricos de una persona se almacenen de forma segura. Es posible utilizar esa tarjeta para acceder a la asistencia humanitaria o social que se les brinda. Pero si los usuarios deciden tirar esa tarjeta, los datos no se almacenarán en ningún otro lugar. La idea básicamente consistía en no establecer una base de datos biométrica con los datos de los refugiados y de otras personas que necesitan ayuda humanitaria.
Para mí, la lección más amplia que ofrece la situación es la de reconocer el problema. En ese caso fue que las bases de datos estaban creando una especie de tarro de miel y un riesgo real. Por eso llegaron a una solución técnica y también una forma para que la gente retirara o borrara sus datos biométricos completamente de una agencia.
¿Cuáles son las principales disparidades que observa en los enfoques de la regulación biométrica en todos los ámbitos?
Un buen ejemplo para ilustrar ese punto sería: ¿Cómo está abordando la ley todo el tema del sesgo y la precisión? En los últimos años hemos visto tanta investigación fundamental de personas como Joy Buolamwini, Timnit Gebru y Deb Raji con desafíos existenciales: ¿Funcionan estos sistemas? ¿Contra quién? E incluso cuando pasan estas llamadas pruebas de precisión, ¿cómo se desempeñan realmente en un contexto de la vida real?
La privacidad de datos no se preocupa por este tipo de problemas. Por eso, lo que hemos visto hasta ahora (principalmente esfuerzos legislativos en Estados Unidos) son proyectos de ley que exigen controles de precisión y no discriminación para los sistemas de reconocimiento facial. Algunos de ellos decidieron paralizar el uso del reconocimiento facial, pero la condición para levantar esta moratoria es que el sistema pase esta prueba de precisión y no discriminación. Y las pruebas a las que se refieren suelen ser las de estándares técnicos como la prueba para los proveedores de reconocimiento facial del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST, en inglés).
Pero, como explico en el primer capítulo, estas pruebas están evolucionando; se ha demostrado que tienen un rendimiento inferior en los contextos de la vida real; y lo más importante, tienen una capacidad limitada para abordar el impacto discriminatorio más amplio de estos sistemas cuando se aplican en la práctica. Así que realmente me preocupa bastante el hecho de que estos estándares técnicos se conviertan en una especie de casilla de verificación que se debe marcar y que luego ignora u oculta las otras formas de daños que estas tecnologías producen cuando se aplican.
¿Cómo cambió este informe su forma de pensar sobre la regulación biométrica?
Lo más importante para mí fue dejar de pensar en la regulación como una herramienta que ayudará a limitar estos sistemas. Sí puede ser una herramienta para luchar en contra de estos sistemas, pero igualmente puede ser una herramienta para normalizarlos o legitimarlos. Solo cuando vemos los ejemplos como el de la India o el de Australia, comenzamos a considerar la ley como un instrumento multifacético, que se puede utilizar de diferentes maneras. En este momento en el que en realidad estamos presionando para preguntar "¿Es necesario que existan estas tecnologías?", la ley, y especialmente una regulación débil, realmente pueden convertirse en armas. Ese fue un buen recordatorio para mí. Debemos tener cuidado con eso.
Esta conversación definitivamente ha sido reveladora para mí porque, como alguien que escribe sobre cómo la tecnología se puede utilizar como arma, a menudo me preguntan: "¿Cuál es la solución?" y yo siempre respondo, "La regulación". Pero ahora usted asegura que: "La regulación también se puede convertir en un arma".
¡Eso es cierto! Me recuerda a los grupos que trabajaban en el ámbito de la violencia doméstica en India. Y me acuerdo que dijeron que después de décadas de lucha por los derechos de las sobrevivientes de la violencia doméstica, el Gobierno finalmente dijo: "Está bien, hemos aprobado esta ley". Pero después de eso, nada cambió. Recuerdo que incluso entonces pensé que a veces glorificamos la idea de aprobar leyes, pero ¿qué ocurre después?
Y así sigo pensando, incluso cuando leí el capítulo sobre prohibiciones y moratorias de Clare Garvie y Jameson Spivack, porque ellos señalan que la mayoría de estas prohibiciones se aplican solo al uso gubernamental. Todavía existe esta enorme y multimillonaria industria privada. Así que todavía se usará en el concierto de Taylor Swift de formas muy similares a las que lo usaría la policía: para dejar fuera a algunas personas, para discriminar a la gente. La máquina no se detiene. Ese tipo de intervención legal requeriría una actuación de presión sin precedentes. No creo que sea imposible lograr la prohibición completa, pero todavía no lo hemos conseguido. Así que, sí, debemos ser más prudentes y críticos sobre cómo entendemos la función de las leyes.
¿Qué parte de este informe le dio esperanzas sobre el futuro?
Esa es siempre una pregunta muy difícil, pero no debería serlo. Probablemente fue el capítulo de Rashida Richardson y Stephanie Coyle. Su trabajo fue casi como una etnografía sobre un grupo de padres en Nueva York que decididamente no querían que sus hijos fueran vigilados. Y dijeron: "Vamos a ir a todas las reuniones, aunque no esperan que lo hagamos. Y vamos a explicar que esto es un problema para nosotros".
Fue realmente reconfortante conocer una historia en la que fue el grupo de padres el que cambió por completo el discurso. Dijeron: No hablemos de si la biometría o la vigilancia es necesaria. Hablemos de los daños reales de esto para nuestros hijos y si este es el mejor uso del dinero. Luego, un senador lo presentó como un proyecto de ley, y en agosto, el Senado del Estado de Nueva York lo aprobó. Lo celebré con Rashida porque "¡Wow! ¡Las historias como esta ocurren!" Está muy relacionado con la lucha.