Ocho estudios de caso sobre la regulación de la tecnología biométrica nos muestran un camino a seguir

Amba Kak, directora de estrategia y programas globales del AI Now Institute con sede en Nueva York

amba kak cortesía de AI Now





Amba Kak estaba en la facultad de derecho en India cuando el país implementó el proyecto Aadhaar en 2009. El sistema nacional de identificación biométrica, concebido como un programa integral de identidad, buscaba recopilar las huellas dactilares, escaneos de iris y fotografías de todos los residentes. No pasó mucho tiempo, recuerda Kak, antes de que comenzaran a difundirse historias sobre sus devastadoras consecuencias. De repente escuchamos informes de cómo los trabajadores manuales que trabajan con sus manos, cómo sus huellas dactilares fallaban en el sistema y luego se les negaba el acceso a las necesidades básicas, dice ella. en realidad tuvimos muertes por hambre en india que estaban siendo vinculados a las barreras que estos sistemas de identificación biométrica estaban creando. Así que era un tema realmente crucial.

Esos casos la llevaron a investigar los sistemas biométricos y las formas en que la ley podría hacerlos responsables. El 2 de septiembre, Kak, quien ahora es director de estrategia y programas globales en el AI Now Institute con sede en Nueva York, publicó un nuevo reporte detallando ocho estudios de caso de cómo se regulan los sistemas biométricos en todo el mundo. Abarcan los esfuerzos de la ciudad, el estado, el país y el mundo, así como algunos de organizaciones sin fines de lucro. El objetivo es desarrollar una comprensión más profunda de cómo funcionan o se quedan cortos los diferentes enfoques. Hablé con Kak sobre lo que aprendió y cómo debemos avanzar.

Esta entrevista ha sido editada y resumida para mayor claridad.



¿Qué motivó este proyecto?

La tecnología biométrica es proliferando y normalizándose , tanto en dominios gubernamentales como en nuestra vida privada. El seguimiento de las protestas mediante el reconocimiento facial ocurrió solo este año en Hong Kong, Delhi, Detroit y Baltimore. Los sistemas de identificación biométrica, de los que se habla menos, en los que la biometría se utiliza como condición para acceder a los servicios de asistencia social, también proliferan en los países de ingresos bajos y medios de Asia, África y América Latina.

Pero lo interesante es que el retroceso contra estos sistemas también está en su apogeo. La defensa a su alrededor está recibiendo más atención que nunca. Entonces, la pregunta es: ¿dónde figuran la ley y la política? Ahí es donde entra en juego este compendio. Este informe trata de extraer lo que podemos aprender de estas experiencias en un momento en que parece que hay mucho apetito por parte de los gobiernos y de los grupos defensores de más regulación.

¿Cuál es el estado actual de la regulación biométrica a nivel mundial? ¿Qué tan maduros son los marcos legales para manejar esta tecnología emergente?

Hay alrededor de 130 países en el mundo que tienen leyes de protección de datos. Casi todos cubren datos biométricos. Entonces, si solo nos hacemos la pregunta de si existen leyes para regular los datos biométricos, entonces la respuesta sería que en la mayoría de los países sí existen.



Pero cuando profundizas un poco más, ¿cuáles son las limitaciones de una ley de protección de datos? Una ley de protección de datos en su mejor momento puede ayudarlo a regular cuándo se usan los datos biométricos y asegurarse de que no se usen para fines para los cuales no se dio el consentimiento. Pero cuestiones como la precisión, la discriminación, esas cuestiones aún han recibido muy poca atención legal.

Por otro lado, ¿qué hay de prohibir completamente la tecnología? Hemos visto eso concentrado en los EE. UU. a nivel de ciudad y estado. Creo que a veces se olvida que la mayor parte de esta actividad legislativa se ha concentrado en el uso público y, más concretamente, en el policial.

Por lo tanto, tenemos una combinación de leyes de protección de datos que brinda algunas garantías, pero es inherentemente limitada. Y luego tenemos una concentración de estas moratorias completas a nivel local de la ciudad y del estado en los EE. UU.



¿Cuáles fueron algunos temas comunes que surgieron de estos estudios de caso?

Para mí, la más clara fue el capitulo de la india por Nayantara Ranganathan, y el capítulo sobre la base de datos de reconocimiento facial de Australia por Monique Mann y Jake Goldenfein. Ambas son arquitecturas estatales centralizadas masivas donde el objetivo es eliminar los silos técnicos entre diferentes estados y otros tipos de bases de datos, y asegurarse de que estas bases de datos estén conectadas de forma centralizada. Así que está creando esta monstruosa arquitectura de datos biométricos centralizada y enlazada centralmente. Entonces, como una curita en este gran problema, está diciendo: Bien, tenemos una ley de protección de datos, que dice que los datos nunca deben usarse para un propósito que no fue imaginado o anticipado. Pero mientras tanto, estás cambiando la expectativa de lo que se puede anticipar. Hoy en día, la base de datos que se utilizó en un contexto de justicia penal ahora se utiliza en un contexto de inmigración.

Por ejemplo, [en los EE. UU.] ICE ahora está usando o tratando de usar las bases de datos del DMV en diferentes estados en el proceso de aplicación de la ley de inmigración. Estas son bases de datos creadas en un contexto civil y están tratando de usarlas para inmigración. De manera similar, en Australia, tiene esta base de datos gigante, que incluye datos de licencias de conducir, que ahora se utilizará para fines ilimitados de justicia penal, y donde el departamento de asuntos internos tendrá control total. Y de manera similar en India, crearon una ley, pero la ley básicamente puso la mayor parte de la discreción en manos de la autoridad que creó la base de datos. Así que creo que a partir de estos tres ejemplos, lo que me queda claro es que hay que leer la ley en el contexto de los movimientos políticos más amplios que están ocurriendo. Si tuviera que resumir la tendencia más amplia, es la securitización de todos los aspectos de la gobernanza, desde la justicia penal hasta la inmigración y el bienestar, y coincide con el impulso de la biometría. Ese es uno.

La segunda, y esta es una lección que seguimos repitiendo, el consentimiento como herramienta legal está muy roto, y definitivamente está roto en el contexto de los datos biométricos. Pero eso no significa que sea inútil. de Woody Hartzog capítulo sobre BIPA de Illinois [Ley de Privacidad de Información Biométrica] dice: Mira, es genial que hayamos tenido varias demandas exitosas contra compañías que usan BIPA, más recientemente con Clearview AI. Pero no podemos seguir esperando que el modelo de consentimiento genere un cambio estructural. Nuestra solución no puede ser: El usuario sabe mejor; el usuario le dirá a Facebook que no quiere que se recopilen sus datos faciales. Tal vez el usuario no haga eso, y la carga no debería recaer en el individuo para tomar estas decisiones. Esto es algo que la comunidad de la privacidad realmente ha aprendido de la manera más difícil, por lo que las leyes como el RGPD no solo se basan en el consentimiento. También existen reglas generales estrictas que dicen: si ha recopilado datos por un motivo, no puede usarlos para otro propósito. Y no puede recopilar más datos de los absolutamente necesarios.



¿Hubo algún país o estado que usted pensó que demostró ser particularmente prometedor en su enfoque de la regulación de la biometría?

Sí, como era de esperar, no es un país o un estado. En realidad, es el Comité Internacional de la Cruz Roja [CICR]. En el volumen, Ben Hayes y Massimo Marelli —ambos son en realidad representantes del CICR— escribió un artículo reflexivo sobre cómo decidieron que tenían un interés legítimo en utilizar la biometría en el contexto de la distribución de ayuda humanitaria. Pero también reconocieron que había muchos gobiernos que los presionarían para acceder a esos datos con el fin de perseguir a estas comunidades.

Así que tenían un acertijo muy real y lo resolvieron diciendo: Queremos crear una política biométrica que minimice la retención real de los datos biométricos de las personas. Entonces, lo que haremos será tener una tarjeta en la que se almacenen de forma segura los datos biométricos de alguien. Pueden usar esa tarjeta para obtener acceso al bienestar humanitario o la asistencia que se brinda. Pero si deciden tirar esa tarjeta, los datos no se almacenarán en ningún otro lugar. La política básicamente decidió no establecer una base de datos biométrica con los datos de los refugiados y otras personas que necesitan ayuda humanitaria.

Para mí, la lección más amplia de eso es reconocer cuál es el problema. El problema en ese caso era que las bases de datos estaban creando un honeypot y un riesgo real. Entonces pensaron tanto en una solución técnica como en una forma para que las personas retiraran o eliminaran sus datos biométricos con agencia completa.

¿Cuáles son las principales brechas que ve en los enfoques de la regulación biométrica en todos los ámbitos?

Un buen ejemplo para ilustrar ese punto es: ¿Cómo está lidiando la ley con todo este tema de sesgo y precisión? En los últimos años hemos visto tanta investigación fundamental de personas como Joy Buolamwini, Timnit Gebru y Deb Raji que desafían existencialmente: ¿Funcionan estos sistemas? ¿Contra quién trabajan? E incluso cuando pasan estas llamadas pruebas de precisión, ¿cómo se desempeñan realmente en un contexto de la vida real?

La privacidad de los datos no se preocupa por este tipo de problemas. Entonces, lo que hemos visto ahora, y se trata principalmente de esfuerzos legislativos en los EE. UU., son proyectos de ley que exigen auditorías de precisión y no discriminación para los sistemas de reconocimiento facial. Algunos de ellos dicen: Estamos pausando el uso del reconocimiento facial, pero una condición para levantar esta moratoria es que pases esta prueba de precisión y no discriminación. Y las pruebas a las que a menudo se refieren son pruebas de estándares técnicos como la prueba de proveedores de reconocimiento facial de NIST.

Pero como argumento en eso primer capitulo , estas pruebas están evolucionando; se ha demostrado que tienen un rendimiento inferior en contextos de la vida real; y lo que es más importante, tienen una capacidad limitada para abordar el impacto discriminatorio más amplio de estos sistemas cuando se aplican a la práctica. Por lo tanto, de alguna manera me preocupa mucho que estos estándares técnicos se conviertan en una especie de casilla de verificación que debe marcarse y que luego ignore u oculte las otras formas de daños que estas tecnologías tienen cuando se aplican.

¿Cómo cambió este compendio su forma de pensar sobre la regulación biométrica?

Lo más importante que hizo para mí fue no pensar en la regulación solo como una herramienta que ayudará a limitar estos sistemas. Eso poder ser una herramienta para hacer retroceder estos sistemas, pero igualmente puede ser una herramienta para normalizar o legitimar estos sistemas. Solo cuando observamos ejemplos como el de la India o el de Australia, comenzamos a ver la ley como un instrumento multifacético, que puede usarse de diferentes maneras. En el momento en que realmente estamos presionando para decir ¿Es necesario que existan estas tecnologías? la ley, y especialmente la regulación débil, realmente pueden convertirse en armas. Ese fue un buen recordatorio para mí. Tenemos que tener cuidado con eso.

Esta conversación definitivamente ha sido reveladora para mí porque, como alguien que cubre la forma en que la tecnología se arma, a menudo me preguntan: ¿Cuál es la solución? y yo siempre digo, Reglamento. Pero ahora estás diciendo que la regulación también puede convertirse en un arma.

¡Eso es muy cierto! Esto me hace pensar en estos grupos que solían trabajar sobre la violencia doméstica en la India. Y recuerdo que dijeron que al final de décadas de lucha por los derechos de las sobrevivientes de violencia doméstica, el gobierno finalmente dijo: Bien, hemos aprobado esta ley. Pero después de eso, nada cambió. Recuerdo haber pensado incluso entonces, a veces glorificamos la idea de aprobar leyes, pero ¿qué sucede después de eso?

Y esta es una buena continuación, incluso cuando leo los libros de Clare Garvie y Jameson Spivack. capítulo sobre prohibiciones y moratorias , señalan que la mayoría de estas prohibiciones se aplican solo al uso gubernamental. Todavía existe esta enorme industria privada multimillonaria. Por lo tanto, todavía se usará en el concierto de Taylor Swift de manera muy similar a como lo usaría la policía: para mantener a la gente fuera, para discriminar a la gente. No detiene la máquina. Ese tipo de intervención legal requeriría una defensa sin precedentes. No creo que sea imposible tener esa llamada prohibición completa, pero aún no hemos llegado allí. Entonces, sí, debemos ser más circunspectos y críticos sobre la forma en que entendemos el papel de la ley.

¿Qué pasa con el compendio que te hizo tener esperanzas sobre el futuro?

Siempre es una pregunta tan difícil, pero no debería serlo. Fue probablemente El capítulo de Rashida Richardson y Stephanie Coyle . Su capítulo era casi como una etnografía sobre este grupo de padres en Nueva York que se sentía muy convencido por el hecho de que no querían que sus hijos fueran vigilados. Y dijeron: Vamos a ir a todas las reuniones, aunque no esperan que lo hagamos. Y vamos a decir que tenemos un problema con esto.

Fue realmente tranquilizador enterarse de una historia en la que fue el grupo de padres el que cambió por completo el discurso. Dijeron: No hablemos de si es necesaria la biometría o la vigilancia. Solo hablemos sobre los daños reales de esto para nuestros hijos y si este es el mejor uso del dinero. Luego, un senador tomó esto y presentó un proyecto de ley, y solo en agosto, el Senado del estado de Nueva York aprobó este proyecto de ley. Celebré con Rashida porque estaba como, ¡Yay! ¡Historias como esta pasan! Está conectado muy profundamente con la historia de la defensa.

esconder