Por Esteban Morrás, miembro del Consejo Asesor del Instituto Hermes y Consejero de Veridas
Sin identidad, sin ser reconocible y reconocido por los demás, el ser humano se ve privado de un elemento esencial para su dignidad y plenitud. El derecho a la propia identidad en el entorno digital, reconocido expresamente en la Carta de Derechos Digitales, constituye una garantía fundamental para la ciudadanía y un presupuesto necesario para la plena efectividad de los restantes derechos digitales.
El derecho a la propia identidad entendido como el conjunto de atributos y características que hace que cada cual sea uno mismo y no otro constituye un derecho fundamental y básico para toda persona desde su nacimiento. Para ser sujeto jurídico, titular de derechos y obligaciones, para que se nos atribuyan responsabilidades y consecuencias de nuestras actuaciones es necesario que previamente se nos reconozca como la persona irrepetible que somos.
El derecho a la identidad se proyecta con especial intensidad en el mundo digital, en el que no interactuamos directamente, en el que no se puede comprobar con inmediación física si somos los que decimos ser, en el que no podemos entregar nuestro documento de identidad para que se comprueben la coincidencia de nuestros rasgos, pero que se ha constituido en el gran espacio de comunicación, opinión e intercambio comercial de nuestro tiempo. Por eso la necesidad de reconocimiento seguro de la identidad real en el entorno digital es tan o más importante que en el mundo físico para que los ciudadanos accedan a los servicios y prestaciones, se les atribuyan sus derechos y obligaciones de modo similar o mejorado con respecto a lo que ocurre en el mundo físico.
El estado actual de reconocimiento de la identidad en el entorno digital es todavía deficiente y lo ha convertido en un lugar proclive a la desapropiación de identidad, en una grave amenaza para los derechos fundamentales debido a la proliferación del anonimato, de las identidades suplantadas o robadas. Pero, como también se explica a continuación, los avances tecnológicos y las iniciativas que se fundan en ellos permiten albergar la esperanza de que es posible devolver a los ciudadanos el derecho a ser identificados con su identidad real de manera segura, fiable y respetuosa con sus derechos fundamentales.
La experiencia cotidiana de un usuario medio acerca de claves olvidadas, perdidas, sustraídas o equivocadas es suficientemente representativa de la pésima gestión actual de la identidad y resulta en un permanente temor a ser objeto de un ciberataque. De acuerdo con el 2021 Data Breach Investigation Report publicado por Verizon, el 60% de los data breach que ponen en peligro la privacidad y la seguridad de nuestros datos afectan al uso de credenciales o contraseñas. Cabe preguntarse a quién beneficia una red en la que las identidades son fragmentadas, presuntas, no seguras e interoperables. A nuestro entender, la persona privada de su derecho a la identidad es más vulnerable en el entorno digital y se le dificulta el pleno ejercicio de sus derechos. Es necesario que la acreditación gire como factor principal en torno a la persona, a sus atributos, y no en torno a los dispositivos o las tarjetas.
El derecho a la identidad digital incluye también el derecho de toda persona a que, si lo desea y así lo consiente, se le facilite un medio de acreditación de su identidad en el entorno digital, basado en elementos que le son inherentes y que no pueden ser sustraídos. Este derecho también implica que la acreditación de la identidad digital ha de proporcionarse con la mayor seguridad posible y con una facilidad de acceso que lo extienda a la mayoría de la población, sin crear barreras que acrecienten la brecha digital.
Si ante una actuación en el entorno digital podemos saber que detrás hay una persona identificable (quizás no por todos los internautas, pero sí por las autoridades competentes si fuera necesario) y por tanto responsable de sus actos, habremos dado un paso sustancial en la protección de los derechos digitales
Otro gran riesgo para los derechos fundamentales en el espacio digital deriva de las identidades falsas o inventadas, del anonimato. No es necesario recordar cómo las redes sociales se han convertido en un semillero impune de odio, de vulneración del honor y la dignidad, de desinformación y polarización.
Ese anonimato propicia un espacio para la desconfianza y para la alteración de la realidad. Es notorio cómo los resultados de supuestas encuestas virtuales o de procesos pretendidamente públicos y participativos para decidir sobre cualquier materia se ven alterados por la intervención masiva de identidades fake.
Con el uso voluntario de sistemas de reconocimiento de la identidad real se puede generar confianza. Si ante una actuación en el entorno digital podemos saber que detrás hay una persona identificable (quizás no por todos los internautas, pero sí por las autoridades competentes si fuera necesario) y por tanto responsable de sus actos, habremos dado un paso sustancial en la protección de los derechos digitales
Mientras otros sistemas de identificación nos permiten presumir que alguien es supuestamente quien dice ser, los sistemas biométricos acreditan con certeza que efectivamente lo es
Tecnología de reconocimiento biométrico a través de inteligencia artificial
La biometría es el «reconocimiento automático de los individuos en función de sus características biológicas y de comportamiento». Permite reconocer a las personas por elementos inherentes a su personalidad, propios e irrepetibles. Mientras otros sistemas de identificación nos permiten presumir que alguien es supuestamente quien dice ser, los sistemas biométricos acreditan con certeza que efectivamente lo es.
Podemos decir que el reconocimiento biométrico es el único sistema que permite acreditar con certeza la identidad digital real de una persona. Y así formular que, en el entorno digital, la única identidad real o cierta es la identidad biométrica.
El Instituto Hermes ha examinado los avances tecnológicos en reconocimiento biométrico. Nuestro estudio nos permite concluir que, con el uso de redes neuronales e inteligencia artificial avanzada, la biometría facial se ha convertido en la tecnología de reconocimiento biométrico de referencia.
Los sistemas utilizados han avanzado para dejar atrás los primeros desarrollos basados en sistemas de puntos a partir de una imagen, que como se ha demostrado son más proclives al error y susceptibles de ser sustraídas por terceros. La incorporación de redes neuronales a los sistemas de identificación biométrica ha supuesto una revolución industrial en este campo, aportando notables mejoras en precisión, acierto y seguridad. De tal modo que, si el proceso de captura de datos, diseño y entrenamiento del motor biométrico y el procesamiento del vector resultante se realizan con las tecnologías más avanzadas, convenientemente certificadas, los sistemas de reconocimiento no constituyen por sí mismos un riesgo para la privacidad y la seguridad de las personas que los utilizan.
Los riesgos no derivan de la biometría como tecnología, sino de sus posibles usos. El reconocimiento biométrico en sí mismo no representa una actividad invasiva o limitatitva de derechos fundamentales y no parece apropiado someterla a prevenciones o trabas que impidan que la ciudadanía se beneficie de sus innegables ventajas en aquellos usos que se ajusten a la ley y a los derechos fundamentales.
No es adecuado partir de una presunción de que la biometría perjudica los derechos fundamentales. Al contrario, la inmensa mayoría de los usos son de riesgo bajo y si se siguen los requisitos normativos y se usan los estándares tecnológicos adecuados su incidencia negativa en la esfera de derechos ciudadanos es nula.
Seguridad
Uno de los temores más comunes es el de que una vez los datos biométricos están cedidos a terceros, la vulnerabilidad del ser humano sería extrema si alguien los sustrae, ya que, a diferencia de unas claves, no pueden cambiarse.
Evidentemente, en la biometría la ciberseguridad es un pilar básico. Y no se puede descartar que terceros, vulnerando los sistemas de defensa, consigan acceder a los vectores de los motores de identificación. Si éstos están basados en líneas de puntos característicos o landmarks, la vulnerabilidad es mayor porque a partir de ellos se puede llegar a reconstruir una cara.
Sin embargo, en los sistemas de inteligencia artificial más avanzados, basados en redes neuronales, esos vectores resultan inútiles para la identificación de personas fuera del sistema para el que están concebidos. Ni siquiera la persona que diseñó el motor biométrico podría obtener la información contando solo con el vector. Por este motivo, es esencial que se promueva la aplicación estricta de estándares técnicos eficaces contra posibles ataques de ciberseguridad. Estos estándares han de exigir:
- La aplicación de motores biométricos modernos de alta calidad basados en redes neuronales que estén validados por terceros (por ejemplo el NIST).
- La capacidad de neutralizar las técnicas de hacking utilizadas de forma maliciosa para suplantar la identidad (spoofing), también validada por terceros independientes.
Es preciso añadir que existen ya estándares internacionales, como la norma ISO/IEC 30107, que establecen medidas de seguridad que deben cumplir los motores biométricos para repeler este tipo de ataques y garantizar su efectividad en dicha acción.
No obstante, habiendo quedado acreditado que la operativa de los nuevos motores biométricos es segura, no podemos obviar que el obtener una foto de casi cualquier persona en Internet resulta extremadamente fácil hoy en día.
Asumida esta premisa, la confianza en los sistemas biométricos se basa en la potencia de los sistemas anti-spoofing certificados que hay detrás de los mismos. Es por ello que los fabricantes de sistemas biométricos han de seguir el ejemplo de los fabricantes de papel moneda, que a base de desarrollar y usar constantemente nuevas
tecnologías, han conseguido mantener la confianza en su producto a pesar de los ilimitados intentos de falsificación.
Sesgo y discriminación
En cuanto a la posible incidencia del reconocimiento biométrico en posibles sesgos o discriminaciones a las personas en razón de su raza, orientación o grupo social al que pertenezcan, ha de señalarse en primer lugar que el uso de la tecnología biométrica de reconocimiento facial de una persona para verificar su identidad, para determinar con su conocimiento y consentimiento si se encuentra entre las personas de un grupo o si es quien dice ser, no debe tener la capacidad de inferir otras características del usuario como origen étnico o racial, estados de ánimo, datos relativos a la salud… etc. Nuestro ordenamiento no permite tratamientos de los datos con esta finalidad. El uso discriminatorio ocurre y puede ocurrir, con y sin tecnología biométrica, pero no es inherente a esta.
El problema no es tanto la tecnología sino la inclusión de elementos de comparación suficientemente amplios para eliminar este potencial efecto indirecto. Cabe diferenciar entre los efectos que se producen en los casos de reconocimiento uno a uno (verificación o autenticación de identidad), y los de uno a varios (1:N, conocido como identificación).
Un informe elaborado por el NIST (National Institute of Standards and Technology) en 2019 manifiesta que, para procesos 1:N los sistemas que introducen un mayor número de variables en el entrenamiento de algoritmos consiguen eliminar falsos positivos o negativos por razón de raza. En casos 1:1 encontraron que los errores apenas tienen incidencia y esta sería menor que la que resultaría atribuible al ojo humano. La conclusión es, por tanto, que el problema de los sesgos proviene de usar bases de datos incompletas en el entrenamiento de los motores de
reconocimiento biométrico.
El uso discriminatorio ocurre y puede ocurrir, con y sin tecnología biométrica, pero no es inherente a esta
Privacidad
La acreditación de la identidad mediante reconocimiento biométrico está sujeta como todas las actividades al respeto de los derechos fundamentales, a la privacidad y a la protección de datos personales.
Con carácter general, los sistemas de reconocimiento 1:1 consistentes en la comprobación de los datos biométricos de una persona contra los de la identidad que dice tener son de muy bajo riesgo y debe promoverse su uso para acreditar la identidad real de la ciudadanía en entornos digitales y físicos, bien con fundamento en el consentimiento de la persona o en un interés legítimo debidamente reconocido.
Los sistemas de reconocimiento 1:N, consistentes en la comprobación de los datos biométricos con una base de datos para comprobar si el sujeto es uno de ellos, no representan problemas si son consentidos y responden a una finalidad legítima. Sería el caso, por ejemplo, de los socios de un club para acceder a su local o el acceso a instalaciones laborales.
Es vital que se aplique con rigor la normativa de protección de datos europea y que las tecnologías que no cumplan los estándares exigibles de garantía de privacidad o los casos de uso que representen un riesgo cierto sean limitados o impedidos.
Iniciativas para propiciar una identidad
La necesidad de una identidad digital segura, accesible y confiable es globalmente compartida y existen múltiples iniciativas que promueven soluciones para conseguirla. Es el caso del sistema ALICEM promovido por el gobierno francés y que constituye un precedente significativo en el entorno europeo. En Argentina, también se ha puesto en marcha un sistema de verificación de identidad biométrica que da acceso a los servicios públicos agrupados bajo el título «Mi Argentina».
En el seno de la UE, la Comisión Europea trabaja en la definición de un marco para una Identidad Digital Europea. Esta iniciativa promueve un modelo de wallet que posibilita que el ciudadano sea único propietario de su identidad digital. La determinación de los estándares tecnológicos y requerimientos de este wallet europeo de identidad se está debatiendo en grupos de trabajo. Estos requerimientos deberían articular distintos niveles de seguridad para que sea el usuario quien decida hasta dónde quiere llegar en el uso de su identidad.
Es muy relevante el compaginar el uso del wallet en el espacio de Internet, con sus usos en el espacio físico y en las interaciones hombre-máquina que va a propiciar el desarrollo del ecosistema de la inteligencia artificial. Dentro de las opciones existentes para optimizar esa conexión, debería analizarse con especial detenimiento el uso de un sistema opcional de QR Biométrico en el wallet que permita acreditar la identidad real de una forma rápida y segura.
Sin identidad, sin ser reconocible y reconocido por los demás, el ser humano se ve privado de un elemento esencial para su dignidad y plenitud. El derecho a la propia identidad en el entorno digital, reconocido expresamente en la Carta de Derechos Digitales, constituye una garantía fundamental para la ciudadanía y un presupuesto necesario para la plena efectividad de los restantes derechos digitales.
El grupo de trabajo del Instituto Hermes sobre Identidad digital y Biometría ha analizado los retos que plantea la identificación de personas en el mundo digital desde la perspectiva de sus derechos digitales. Ha analizado igualmente las soluciones tecnológicas que el reconocimiento biométrico basado en inteligencia artificial avanzada ofrece en este terreno, las diferentes regulaciones e iniciativas legislativas en marcha sobre el particular, las resoluciones y actuaciones de las autoridades públicas en España, Europa y otros países, así como los casos de uso más relevantes.