Sistemas biométricos en la Ley de IA de la UE: definición
En el contexto del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, es decir, la Ley de IA de la UE (EU AI Act), los sistemas biométricos son sistemas de IA que tratan datos biométricos con el fin de identificar, verificar o categorizar a personas físicas, o de inferir sus emociones. La norma remite al concepto de datos biométricos conocido por el RGPD, es decir, al Reglamento (UE) 2016/679, artículo 4, punto 14. En la práctica, en el caso de fotos y grabaciones de vídeo, se trata sobre todo del análisis del rostro, la silueta corporal, la forma de caminar, el iris, la huella dactilar u otros patrones que permiten distinguir a una persona de otra.
En el ámbito de la anonimización de fotos y vídeo, es clave distinguir entre un sistema destinado al reconocimiento biométrico y un sistema destinado a la protección de la privacidad. Una herramienta que detecta un rostro para difuminarlo no tiene por qué identificar a la persona. Puede funcionar únicamente en la fase de detección de un objeto del tipo “rostro” o “matrícula”. Este es un límite técnico y jurídico fundamental. La mera detección de un rostro en la imagen no equivale a determinar la identidad de una persona.
La Ley de IA de la UE establece para los sistemas biométricos tres grandes regímenes: prohibiciones para determinados usos, la categoría de alto riesgo para algunas implantaciones y un conjunto de obligaciones para proveedores y responsables del uso del sistema. En la práctica, tienen especial relevancia los sistemas de identificación biométrica remota, los sistemas de categorización biométrica y los sistemas de reconocimiento de emociones. Para un delegado de protección de datos, esto implica la necesidad de diferenciar las herramientas de anonimización de materiales visuales de aquellas que perfilan, clasifican o identifican a personas a partir de imágenes.
Cómo clasifica la Ley de IA de la UE los sistemas biométricos
La Ley de IA no trata todos los usos de la biometría por igual. Importan la finalidad del tratamiento, el entorno de uso y si el sistema funciona ex post o sobre imagen en directo. Esto tiene un impacto directo en los procesos de tratamiento de grabaciones y fotografías antes de su publicación, archivo o cesión a terceros.
Los principales grupos de sistemas biométricos pueden ordenarse del siguiente modo:
Tipo de sistema | Descripción de la función | Situación en la Ley de IA de la UE | Importancia para la anonimización de fotos y vídeo
|
|---|---|---|---|
Identificación biométrica remota | Comparación de un patrón biométrico con una base de identidades para determinar quién es la persona | Como regla general, sistema de alto riesgo; su uso en tiempo real en espacios de acceso público con fines de aplicación de la ley está, en principio, prohibido, con excepciones legales | No es necesaria para difuminar rostros |
Verificación biométrica | Confirmación de una identidad declarada en una relación 1:1 | Puede ser un sistema de alto riesgo, según el caso de uso | No es necesaria para anonimizar material visual |
Categorización biométrica | Asignación de una persona a una categoría sobre la base de características biométricas | Algunas aplicaciones están prohibidas; otras pueden quedar sujetas a los requisitos de la Ley de IA y a otras limitaciones jurídicas | No debería formar parte de un sistema de protección de la privacidad |
Reconocimiento de emociones | Inferencia del estado emocional a partir de datos biométricos | Prohibido en el lugar de trabajo y en instituciones educativas, con excepciones limitadas | No es necesario para difuminar rostros |
Detección de rostros | Detección de la presencia de un rostro sin determinar la identidad | Como regla general, queda fuera del reconocimiento biométrico entendido como identificación, aunque sigue requiriendo una evaluación de cumplimiento con el RGPD | Es la función típica utilizada para anonimizar fotos y grabaciones |
Desde el punto de vista técnico, se trata de la diferencia entre una tarea de detection y una tarea de identification o verification. En el primer caso, el modelo localiza un objeto en la imagen. En el segundo, construye o compara una representación de los rasgos de una persona, normalmente como un vector de características conocido como embedding.
Importancia para la anonimización de fotos y grabaciones de vídeo
En los sistemas de protección de la privacidad, el objetivo debe ser detectar el elemento que debe difuminarse, no reconocer a una persona concreta. En la práctica, esto implica utilizar modelos de visión por computador para localizar rostros y matrículas, y después transformar la imagen de forma permanente mediante desenfoque, pixelado o enmascaramiento.
Para construir un sistema de este tipo, normalmente se utiliza deep learning. El modelo se entrena con conjuntos de datos etiquetados para aprender a localizar rostros o matrículas en distintas condiciones:
- con iluminación variable,
- con oclusiones parciales,
- con diferentes ángulos de cámara,
- en imagen fija y en secuencias de vídeo.
Tras la fase de entrenamiento, el modelo de inferencia puede utilizarse para detectar automáticamente los objetos que requieren anonimización. Desde la perspectiva del cumplimiento normativo, es importante que este pipeline no cree funciones de identificación de personas, salvo que ello esté estrictamente justificado y sea legal. En la práctica, un sistema para difuminar rostros no necesita comparar caras con una base de referencia ni asignar a la persona un identificador único de identidad.
En un entorno como Gallio PRO, esto significa utilizar IA para detectar automáticamente rostros y matrículas en materiales fotográficos y de vídeo y para difuminarlos. No incluye la detección automática de logotipos, tatuajes, placas identificativas, documentos ni contenido en pantallas. Estos elementos pueden requerir edición manual en el editor. Esta separación reduce el alcance del tratamiento de datos y limita el riesgo de implantar funciones biométricas que vayan más allá de la finalidad de anonimización.
Prohibiciones y sistemas de alto riesgo en la Ley de IA de la UE
Las limitaciones más estrictas afectan a usos que el legislador europeo ha considerado inadmisibles o especialmente invasivos. Para la práctica de compliance, es importante tener en cuenta que no todo uso del rostro en un sistema de IA está prohibido, pero sí lo están determinadas finalidades y contextos de uso.
Entre los ámbitos especialmente sensibles se encuentran:
- la identificación biométrica remota en tiempo real en espacios de acceso público con fines de aplicación de la ley, que está, por regla general, prohibida, con excepciones legales,
- determinadas formas de categorización biométrica que utilizan datos sensibles,
- el reconocimiento de emociones en el trabajo y en la educación, en principio prohibido, con excepciones limitadas,
- los sistemas de alto riesgo utilizados en ámbitos como el empleo, el acceso a servicios, la migración o la justicia.
Para las entidades que se ocupan de la anonimización de fotos y vídeo, la conclusión práctica es simple: la función de difuminado de rostros debe estar separada de las funciones de identificación. Cuanto menor sea el alcance de los datos y cuantas menos operaciones se realicen sobre características biométricas, más fácil será demostrar la adecuación de la finalidad, la minimización de datos y la proporcionalidad.
Obligaciones de proveedores y usuarios de sistemas biométricos
Si un determinado sistema de IA se califica como sistema de alto riesgo, la Ley de IA impone un conjunto de obligaciones tanto al proveedor como a la entidad que lo utiliza. Estas obligaciones complementan, y no sustituyen, los requisitos del RGPD. En el ámbito de la imagen y el vídeo, esto implica una evaluación técnica paralela a una evaluación de protección de datos.
Entre las obligaciones básicas se incluyen:
- implantar un sistema de gestión de riesgos,
- garantizar una calidad adecuada de los datos de entrenamiento, validación y prueba,
- mantener documentación técnica,
- registrar eventos en la medida exigida por la Ley de IA, respetando los principios de minimización de datos,
- garantizar la supervisión humana,
- cumplir los requisitos de precisión, ciberseguridad y robustez,
- realizar el procedimiento de evaluación de la conformidad antes de comercializar el sistema o ponerlo en servicio.
Para el usuario de un sistema de anonimización de material visual, resulta esencial documentar que la herramienta funciona exclusivamente con fines de edición de privacidad y que no amplía el alcance del tratamiento hacia la identificación biométrica. En la práctica, son útiles las políticas técnicas, las descripciones de arquitectura, las pruebas de calidad de detección y las reglas de conservación de los archivos fuente y de salida.
Parámetros clave y métricas de los sistemas biométricos y de los sistemas de anonimización
Para evaluar un sistema de IA aplicado a fotos y vídeo, no basta con describir su función. Se necesitan parámetros medibles. Su selección depende de si el sistema debe identificar a personas o solo detectar objetos para difuminarlos.
En los sistemas de detección, se utilizan con mayor frecuencia:
- precision: porcentaje de detecciones correctas sobre el total de detecciones,
- recall: porcentaje de objetos detectados sobre el total de objetos presentes en el material,
- mAP: precisión media para umbrales IoU, métrica típica en detección de objetos,
- IoU: medida del solapamiento entre el área predicha y el área de referencia,
- latency per frame: tiempo de procesamiento por fotograma o imagen.
En los sistemas de identificación biométrica, se analizan con más frecuencia:
- FAR - False Accept Rate,
- FRR - False Reject Rate,
- EER - Equal Error Rate,
- ROC y AUC,
- rank-1 accuracy o recall@k para búsquedas en galería.
En un sistema de anonimización de fotos y grabaciones, es más importante un alto recall de detección que un ranking de identidades. La razón es práctica. Un rostro no detectado o una matrícula no detectada supone un riesgo de divulgación de datos personales. Por eso, en los procesos de compliance suelen adoptarse configuraciones conservadoras del umbral de detección y, a continuación, se aplica control por parte del operador en los casos límite.
Referencias normativas y práctica de cumplimiento
La evaluación de los sistemas biométricos en el trabajo con imagen y vídeo debe basarse en fuentes primarias. Los principales actos y documentos son:
- Reglamento (UE) 2024/1689 - Ley de IA, publicado el 12 de julio de 2024,
- Reglamento (UE) 2016/679 - RGPD, en particular los artículos 4, 9, 25 y 35,
- Directrices 3/2019 del Comité Europeo de Protección de Datos sobre el tratamiento de datos personales mediante dispositivos de vídeo, adoptadas el 29 de enero de 2020,
- norma ISO/IEC 23894:2023 - directrices para la gestión del riesgo en IA,
- norma ISO/IEC 22989:2022 - conceptos y terminología de IA.
En la práctica del cumplimiento para una herramienta de difuminado de rostros y matrículas, esto implica varias reglas. En primer lugar, debe limitarse la finalidad del tratamiento a la anonimización o seudonimización del material visual. En segundo lugar, hay que demostrar que la función de IA no se utiliza para la identificación biométrica. En tercer lugar, debe mantenerse el control del operador sobre materiales complejos, por ejemplo, fotogramas con rostros pequeños, movimiento, reflejos o con el objeto parcialmente oculto.
En este modelo, la IA cumple una función auxiliar para la protección de datos, y no actúa como herramienta de identificación de personas. Esta distinción es fundamental tanto para la clasificación del riesgo en la Ley de IA como para la evaluación de la licitud del tratamiento conforme al RGPD.