Las tecnologías de reconocimiento facial automatizado (RFA) han crecido en los últimos años en todo el mundo. Primero en Europa, Asia y Estados Unidos, luego gradualmente en los países de Latinoamérica.
Hacete socio para acceder a este contenido
Para continuar, hacete socio de Caras y Caretas. Si ya formas parte de la comunidad, inicia sesión.
ASOCIARMECaras y Caretas Diario
En tu email todos los días
En Uruguay, la ley de presupuesto aprobada en 2020 contiene dos artículos que le dan potestad al Ministerio del Interior a tomar de la base de datos de identificación de la Dirección Nacional de Identificación Civil la fotografía tanto de cédulas como de pasaportes para alimentar un sistema de reconocimiento facial automatizado con fines de seguridad pública, que ya había sido adquirido.
El artículo 191 dice: «Créase en el Inciso 04 ‘Ministerio del Interior’, Unidad Ejecutora 001 ‘Secretaría del Ministerio del Interior’, una base de datos de identificación facial para su administración y tratamiento con fines de seguridad pública, en estricto cumplimiento de los cometidos asignados por la Ley 19.315, de 18 de febrero de 2015, y a lo dispuesto en la Ley 18.331, de 11 de agosto de 2008».
Y el 192: «Autorízase en el Inciso 04 ‘Ministerio del Interior’, Unidad Ejecutora 031 ‘Dirección Nacional de Identificación Civil’, la migración actualizada a la Unidad Ejecutora 001 ‘Secretaría del Ministerio del Interior’, de la totalidad de las imágenes faciales de las personas mayores de edad de las que lleva registro, los nombres y apellidos de sus titulares, sexo, fecha de nacimiento, nacionalidad, número de cédula de identidad, fecha de expedición y fecha de expiración de esta última».
¿Qué es y cómo funciona, entonces, el RFA? «La tecnología de reconocimiento facial automatizado utiliza una o más fotos o imágenes fijas de una transmisión de video de una persona y las convierte en una plantilla facial o una representación matemática de la imagen. Luego, un algoritmo (es decir, un conjunto de instrucciones) que calcula el grado de coincidencia puede comparar esa plantilla con una plantilla generada a partir de otra foto. De esta manera, puede determinar el nivel de similitud. Las plantillas pueden almacenarse de forma independiente de las imágenes de los rostros», explican desde la organización Laboratorio de Datos y Sociedad (Datysoc) en el informe Fuera de control: uso policial del reconocimiento facial automatizado en Uruguay, que aborda esta temática.
«Los sistemas más modernos de RFA se basan en el aprendizaje automático, una
rama de la inteligencia artificial (IA). El algoritmo utiliza datos de entrenamiento (fotos de rostros) para identificar patrones y determinar de forma automatizada las partes de cada rostro que son importantes para averiguar quién es cada persona en particular. En los últimos años se utilizan redes neuronales profundas, un tipo especial de algoritmo de aprendizaje automático, para volver más precisos los sistemas y lograr que ‘aprendan’ a reconocer nuevos rostros», expresan.
Patricia Díaz Charquero, coordinadora del proyecto e investigadora, explicó a Caras y Caretas que «si bien las redes de vigilancia son necesarias para una mayor eficiencia de la Policía, necesitan un adecuado tratamiento en término de derechos humanos, porque afectan derechos como el derecho a la privacidad, obviamente, o el derecho a la libertad de expresión, el derecho a la libertad de reunión, el derecho a la manifestación pacífica. Estos derechos no son absolutos, irrestrictos, hay que equilibrarlos con el derecho a la seguridad pública, por ejemplo. Esos análisis no siempre se hacen».
Para Díaz «existe una forma casi de tecnoilusionismo bastante acrítico por parte muchas veces de los organismos públicos y desde la sociedad civil» con respecto a estos temas, y por eso es necesario analizar el tema.
El informe nació a raíz de los cambios introducidos en la ley de presupuesto, que implican que «le estamos dando todos estos datos a la Policía para usar de una forma diferente a la que se venían usando. Y nuestra pregunta principal es: ¿cuáles son? ¿Cuál es el régimen que tiene este uso por parte de la Policía? ¿Cuáles son los límites que Uruguay otorga al derecho de la Policía para ejercer la vigilancia con fines de seguridad pública?».
Al encarar esta investigación el equipo se encontró con un problema fundamental, «la falta de transparencia», en palabras de la investigadora. Tuvieron que trabajar con informantes, no tienen una versión oficial del Ministerio del Interior. Es conflictivo, señala, «no otorgar a la ciudadanía información sobre este proceso y no da participación a la ciudadanía».
Datysoc centró su análisis en tres funciones de la biometría facial: detección (no es parte del reconocimiento facial automatizado), verificación (sí es RFA) e identificación (sí es RFA).
Software adquirido por la Policía
La tercera parte del informe de Datysoc se centra en analizar el RFA en Uruguay. Allí explican que el software o sistema de RFA que se compró es del desarrollador Herta Security y se compró a un consorcio de empresas (DDBA Ltda., CDT Latam LLC y TTY SA). El contrato es por tres años, hasta febrero de 2023. Vencido el plazo, el Ministerio podrá solicitar a la empresa que el servicio se preste hasta la sustanciación del nuevo llamado.
Las funcionalidades del software, según se especifica en el pliego del llamado y recoge Datysoc, son:
-Crear plantillas faciales para cada persona mayor de edad. El software debe procesar una base de datos biométrica de al menos cuatro millones de identidades que incluya a toda la población de Uruguay y movimientos migratorios de interés.
-Ser utilizado en al menos 300 estaciones de trabajo de oficiales de caso.
-Crear perfiles y listas de personas con diferentes fines. El software debe ser capaz de armar y administrar listas globales de personas de interés y listas por unidad operativa del MI, así como mecanismos de configuración de alertas para dichas listas. También debe brindar la posibilidad de interoperar con listas de otros sistemas del Ministerio, por ejemplo, con listas de personas requeridas del Sistema de Gestión de Seguridad Pública.
-Montar un mecanismo de verificación/identificación facial para que usen los oficiales en el territorio. Se prevé la posibilidad de dotar a 3.000 oficiales de Policía con dispositivos móviles con una aplicación de RFA.
-Vigilar en tiempo real mediante streaming e identificación facial. Se valora que el sistema sea capaz de procesar, puntualmente y a demanda, streaming de cámaras en vivo, para efectuar vigilancia en tiempo real mediante identificación facial.
-Integrar el sistema de RFA con otros sistemas de gestión y vigilancia. La solución contratada debe permitir integrar el sistema de reconocimiento facial con aplicaciones y sistemas propios o de terceros. También brinda amplias posibilidades de triangulación de datos con diferentes plataformas, por ejemplo, con Ucinet, software de ciberpatrullaje en redes sociales que el MI adquirió en 2020 y declaró estar testeando.
Según dijeron los informantes a Datysoc «ya se realizó una copia de la base de la DNIC de la totalidad de las imágenes faciales de las personas mayores de edad, los nombres y apellidos de sus titulares, sexo, fecha de nacimiento, nacionalidad, número de cédula de identidad, fecha de expedición y fecha de expiración».
Con respecto a los límites o normativas de uso del sistema, a Datysoc le informaron que «existirán protocolos, asignación de diferentes roles y responsabilidades dentro del sistema, así como trazabilidad de las consultas y eventos. Las personas entrevistadas expresan que los protocolos de uso operativo policial no suelen ser públicos».
En cuanto a los riesgos de sesgos y a las tasas de error de la herramienta «las personas entrevistadas consideran que se contrató una solución con excelentes referencias», informan desde la organización, pero la empresa no entregó los datos sobre los resultados de los entrenamientos del algoritmo.
Normativa y pugna de derechos
Díaz explicó que para el informe tomaron como base recomendaciones de organismos de derechos humanos en materia de vigilancia. Destacó uno de 2019, publicado por el relator de Libertad de Expresión de la ONU, que básicamente plantea alarma porque explica que cuando hay un choque entre el derecho a la seguridad y otros derechos deben existir determinadas garantías de necesidad y proporcionalidad: «Si un derecho se va a vulnerar en favor de otro, no tiene que haber ninguna otra posibilidad de llevar a cabo el objetivo, por ejemplo, de resguardar la seguridad pública, y tiene que haber una proporcionalidad en cuanto a uso».
Para que haya garantías es necesario «que se sepa cómo está regulado y para qué se va a usar exactamente y tiene que tener bordes» porque «cuando uno le da potestades a la Policía, no puede dar potestades ilimitadas o vagas, tiene que tener una regulación exhaustiva, tiene que dársele un marco determinado, porque si no queda a la total discrecionalidad de la policía», explicitó la investigadora. Y todo esto «tiene que discutirse a nivel parlamentario y a nivel sociedad, tiene que haber debate y análisis de impacto».
Díaz señaló el problema de los sesgos del sistema de RFA. ¿Cómo identifica el límite entre personas menores y mayores de 18 años? ¿La población trans? Además, Díaz explica que «las que salen perjudicadas principalmente son las mujeres de piel oscura».
A pesar de todo esto, «también es una tecnología útil». Por eso lo importante para Datysoc es hacerse preguntas, pensar hasta dónde se puede utilizar la herramienta.
Conclusiones
La conclusión de Datysoc, en palabras de Díaz, es que «no hay una base legal hoy para el uso del reconocimiento facial automatizado por parte de la policía»; solo existen límites en los casos de espectáculos deportivos con la ley de admisión, decreto reglamentario y registro de personas inhibidas de ingresar a espectáculos públicos. Y la consecuencia es concreta: no ingresar.
Por el contrario, en lo que respecta al uso de RFA por parte de la Policía en el marco de los artículos 191 y 192 de la ley de presupuesto antes informados, «no hay límites claros».
De acuerdo con el informe, también hay un vacío en el régimen de protección de datos personales, amparado en la Ley 18.331. «La cuestión es que la Ley de Datos Personales en su artículo tres explica que la ley no se aplica a las bases de datos con fines de seguridad pública. Por lo tanto, más allá de los principios generales de la ley, porque la protección de datos personales es un derecho humano, no hay régimen de protección de datos personales específico», contrastó Díaz.
Esto abre un paraguas de preguntas para la investigadora: cómo tienen que operar, cuál es la consecuencia de que mi cara coincida con alguien perseguido en una base, cuál es el procedimiento que tiene que llevar la policía si coincide, en qué contexto puede la Policía usar esto para uso forense, en casos de robo, vigilancia en la vía pública para controlar protestas. «Es algo que hay que responder y tienen que estar en una ley», sentenció Díaz, «no lo digo yo, lo dice el Comité de Derechos Civiles y Políticos de la ONU».
Entonces, «no tenemos base legal, tenemos vacíos en el régimen de protección de datos personales y también tenemos falta de transparencia y rendición de cuentas».
Con respecto a los caminos posibles, Datysoc plantea dos prohibiciones y dos acciones que hagan viable el uso del sistema de RFA por parte de la Policía, pero resguardando el principio democrático básico. Piden la prohibición del enrolamiento masivo de toda la población en el sistema de RFA, «las personas inocentes no tienen por qué estar en bases de la Policía»; la prohibición del uso del reconocimiento facial como medio de vigilancia policial continua y sin orden judicial en espacios públicos, «que no implica la prohibición del uso, sino el dar un marco», matizó Díaz.
Y con respecto a las medidas proactivas: «una regulación adecuada y protocolos de actuación que den un marco de garantía específica y que especifiquen el fin para el que puede usar la Policía [el RFA], quién es responsable por el uso del sistema, y cuáles son las medidas que se van a tomar para minimizar la recolección de datos o los mecanismos de supervisión o de auditoría del sistema».
Díaz remarcó que otra acción importante es crear un programa de capacitación sobre el funcionamiento y los riesgos del sistema: «Los operadores judiciales tienen que entender que esta tecnología no es exacta, que se maneja en base a un sistema de puntaje, de coincidencia, de identidad. No te dice si una cara es o no es una persona, te dice la probabilidad de que sea. Entonces hay que saber manejar esos umbrales».
Por último, Díaz destacó que es esencial la participación ciudadana en temáticas de seguridad pública y tecnología. «La tecnología no solo debe ser eficiente en términos de solución de problemas […] tiene efectos sociales y tenemos que discutirlo, formarnos como sociedad, formar opinión antes de que se implemente la política, no después».
El informe Fuera de control: uso policial del reconocimiento facial automatizado en Uruguay se puede leer y descargar en la página web de Datysoc: datysoc.org.