El 16 de enero de 2020 la agencia Bloomberg publicó una breve noticia en la que se afirmaba que la Comisión Europea (CE) iba a divulgar, a mediados de febrero, un libro blanco sobre inteligencia artificial. Al parecer dicho libro blanco recomendaba una nueva regulación que podría incluir una moratoria de 5 años a la tecnología de reconocimiento facial en lugares públicos, aunque la agencia consideraba muy probable que la propuesta sufriera cambios antes de publicarse. Estudiemos primero, de manera objetiva, qué tenemos:
- Un libro blanco, que no es legislación, ni siquiera una proposición legislativa, tan sólo una opinión, por supuesto autorizada, pero que debe pasar el largo y enojoso proceso de la maquinaria legislativa europea para llegar a cristalizar en una normativa vinculante. Por poner un ejemplo, el primer paso hacia el RGPD fue una opinión de la CE de junio de 2011, es decir que pasaron 5 años (el mismo plazo de la presunta moratoria) desde esa primera propuesta hasta la aprobación del Reglamento, que por supuesto distaba bastante de la opinión inicial.
- La necesidad de una nueva normativa, que regule el uso de la inteligencia artificial en sectores como el de la sanidad o el transporte, incluyendo las tecnologías de reconocimiento facial.
- Un rumor sobre una moratoria de 5 años. La idea de la moratoria se desliza en el cuerpo de la noticia como uno de los posibles contenidos del libro blanco, pero no se aporta ningún dato que dé solidez a esa propuesta.
- Que la versión final se cambiará con toda probabilidad. Es decir que, en última instancia, la agencia admitía que la noticia sobre la moratoria era pura especulación.
¿Qué se deduce de estos datos?
Más bien poco. En resumen, la CE está evaluando una propuesta para regular el uso de reconocimiento facial en lugares públicos, pero es difícil aventurar cual va a ser su contenido y mucho más aún en qué va a consistir la normativa que finalmente se apruebe, si es que ve algún día la luz. En ese marco la idea de una moratoria de 5 años carece de sentido, porque, volviendo al ejemplo del RGPD, 5 años es el plazo que podría tardar en aprobarse una futura normativa comunitaria sobre la materia si la maquinaria se pusiera en marcha hoy.
¿Qué ha construido cierta prensa con estos mimbres?
Los titulares de la catástrofe, como no podía ser menos. Cito algunos ejemplos, de DEFCON 2 a Apocalipsis:
- Expansión: “La UE plantea prohibir hasta 5 años el reconocimiento facial en lugares públicos para analizar sus riesgos”
- El País: “La UE plantea prohibir hasta cinco años el reconocimiento facial en lugares públicos”
- Economía Digital: “La UE se plantea vetar el reconocimiento facial hasta 2025”
- La Sexta: “La Unión Europea planea prohibir el reconocimiento facial en espacios públicos”
- Science Business: “EU makes move to ban use of facial recognition systems”
¿Cuánto ha durado la alarma?
Lo correcto sería decir menos de quince días, ya que el día 30 de enero la agencia Reuters dio el siguiente titular: “Europa abandona la idea de prohibir el reconocimiento facial en lugares públicos”. Si es que alguna vez existió esa idea, nos podríamos atrever a decir.
Si buceamos en el cuerpo de la noticia veremos un par de cosas muy interesantes. En primer lugar, que la Comisión, tal como comentábamos más arriba, iba a recomendar una regulación específica en sectores de alto riesgo, mediante un plan cuya publicación se esperaba para el 19 de febrero. En segundo lugar, unas impagables declaraciones de Brad Smith, el presidente de Microsoft, que de manera harto gráfica comparaba la prohibición del reconocimiento facial con utilizar una maza de carnicero en lugar de un bisturí en una operación.
Ahora sí, ¿cuánto ha durado en realidad la alarma?
Para ser justos, sigue en marcha. La mayoría de los medios que la sembró no ha publicado el desmentido. Nadie fuera del sector sabe que la CE ni plantea, ni planea, ni quiere prohibir el reconocimiento facial. Al contrario, se siguen publicando noticias sobre reconocimiento facial en las que se vuelve a hacer referencia a una propuesta de prohibición, temporal o no, que simplemente no existe.
¿Ha publicado finalmente la Comisión Europea el libro blanco sobre inteligencia artificial?
Pues sí, puntualmente el día 19 por la mañana apareció publicado el “Libro Blanco sobre Inteligencia Artificial – Una aproximación europea hacia la excelencia y la confianza”. En él, resumiendo mucho sus 27 páginas, se persiguen dos objetivos. En primer lugar, apoyar el desarrollo de la inteligencia artificial en Europa, porque se considera un sector esencial para el desarrollo económico y para mantener el liderazgo tecnológico de la Unión Europea en el mundo. En segundo lugar, se pretende crear un nuevo marco legal europeo, que evite la fragmentación y de seguridad jurídica tanto a los ciudadanos, protegiendo sus derechos fundamentales (es decir su seguridad y su privacidad fundamentalmente), como a las empresas que trabajan con inteligencia artificial.
Este marco legal debe abarcar sólo sectores definidos como de alto riesgo, lo que incluye:
- Salud
- Transporte (en especial vehículos autónomos)
- Energía
- Algunos servicios públicos, como:
- Asilo
- Migración
- Control de fronteras
- Justicia
- Seguridad Social
- Servicios de Empleo
- Reconocimiento facial
En efecto, el informe de la Comisión dedica un apartado específico, aunque muy breve, al reconocimiento facial, en el que se dicen en síntesis tres cosas:
- Sólo se considera sector de alto riesgo el reconocimiento facial, es decir la identificación de una persona, en un circuito de videovigilancia por ejemplo, contra una base de datos de diversos individuos. Mientras que el control de acceso, es decir la autenticación o verificación de la identidad de una persona contra la imagen de esa misma persona almacenada en el sistema, no se considera de alto riesgo, por lo que quedaría fuera de esa regulación específica.
- Se abre el debate para determinar en qué circunstancias debe permitirse el uso del reconocimiento facial, ya que el documento está sometido a consulta pública.
- La legislación debe ser unitaria para evitar el fraccionamiento del mercado y la falta de seguridad jurídica.
Sin duda esta regulación será bienvenida por todos los interesados. Y es que, en contra de lo que pueda parecer, el RGPD no regula de manera suficiente el tratamiento de datos biométricos. Si bien el artículo 9.2 establece una serie de supuestos en los que se permite su uso, ninguna de las siguientes u otras excepciones, han sido desarrolladas con posterioridad:
- Consentimiento expreso del interesado.
- Cumplimiento de obligaciones y ejercicio de derechos laborales, de seguridad social y/o protección social.
- Formulación, ejercicio o defensa de reclamaciones.
- Razones de interés público esencial. La propia Comisión considera en el libro blanco que esta es la excepción más idónea para el reconocimiento facial.
En definitiva, todas las partes implicadas necesitan, por motivos elementales de seguridad jurídica, que tales excepciones pasen del mero esbozo a trazar un camino seguro en el que los desarrolladores de reconocimiento facial, las empresas de seguridad y los poderes públicos puedan utilizar las soluciones adecuadas dentro de los márgenes de la ley, y al mismo tiempo se respete el derecho de los ciudadanos tanto a la seguridad como a la privacidad. Pero por supuesto este planteamiento, en la medida en que implica una solución de consenso incompatible con la catástrofe, no es, o al menos no parece que sea, una noticia de interés.
