Empresas obligadas a lidiar con el enigma del cumplimiento del reconocimiento facial
Tabla de contenido:
¿Mi cara o la tuya?
El uso cada vez mayor de tecnologías de reconocimiento facial deja a las empresas frente a un grave enigma en materia de privacidad y cumplimiento normativo.
La tecnología de reconocimiento facial se puede utilizar para identificar o confirmar la identidad de una persona mediante su rostro. La tecnología identifica y mide rasgos faciales en una imagen o video antes de comparar la información con una base de datos de rostros conocidos para encontrar una coincidencia.
Espacios públicos
La tecnología de reconocimiento facial se puede utilizar con CCTV para la seguridad pública, especialmente en aeropuertos y estaciones de tren. Aún así, los despliegues tanto en el US y Europa en ocasiones han sido controvertidos.
Los defensores de la privacidad argumentan que el reconocimiento facial en entornos no controlados no es confiable.
Aparte de las posibles amenazas a la privacidad individual derivadas de la vigilancia masiva basada en el reconocimiento facial, también existe la preocupación de que la tecnología en el contexto de los espacios públicos pueda generar prejuicios de género y perfil racial – sobre todo porque algunos algoritmos exhiben más falsos positivos contra la gente de color.
La Unión Europea propuso tres años antes rápidamente una moratoria al reconocimiento facial en espacios públicos abandonando la idea.
Por el contrario, el uso de la tecnología en controles fronterizos como aeropuertos o dentro de instalaciones seguras para imponer controles de acceso estrictos es mucho más confiable. La biometría de reconocimiento facial bien diseñada también se puede utilizar como mecanismo de autenticación para sistemas o aplicaciones lógicos.
De la UE Reglamento General de Protección de Datos (GDPR) impone requisitos estrictos sobre el procesamiento de datos biométricos, incluido el consentimiento, la transparencia, la limitación del propósito y la evaluación del impacto en la privacidad (para proteger contra la desviación de la misión), junto con reglas de minimización y retención de datos.
Autenticación Segura
Las empresas tradicionales dependen cada vez más del reconocimiento facial para controlar el acceso a espacios físicos o autenticar a los usuarios a través de servicios de verificación de identidad. Estos pueden alinearse con el cumplimiento del RGPD, pero primero solo se realizan evaluaciones cuidadosas del impacto de la protección de datos que consideren los requisitos de privacidad y cumplimiento.
"Frente a los rápidos avances tecnológicos, las empresas deben mantenerse ágiles no sólo en la adopción sino también en la comprensión de los riesgos asociados". Dave Holloway, CMO de ISMS.online, comentó.
Declan Goodwin, socio de Acuity Law, añadió: “He visto ejemplos en los que proveedores de software/hardware de reconocimiento facial han vendido sistemas a empresas sin que el comprador haya considerado primero completamente los requisitos de cumplimiento.
"Una vez que se han elaborado los requisitos de cumplimiento, el comprador se ha dado cuenta de que no puede implementar el sistema que ha comprado de manera compatible o que tiene fallas".
Goodwin explicó: “Por ejemplo, se requiere el consentimiento de los empleados antes de que se pueda utilizar el sistema para registrar la entrada y salida de los empleados al trabajo, y dicho consentimiento puede retirarse en cualquier momento, lo que hace que los beneficios de la nueva tecnología sean muy limitados. La ICO está intentando ayudar controladores de datos con dicha tecnología a través de su [reciente] Consulta sobre el proyecto de orientación sobre datos biométricos.."
Los marcos de cumplimiento ofrecen un modelo
Alex Wilkins, director y experto en privacidad de datos de ProCompliance, dijo a ISMS.online que "los marcos y estándares, incluidos ISO 27001, ISO 27701 y NIST CSF, desempeñan un papel crucial para ayudar a las empresas a posicionarse para lograr el cumplimiento" al implementar el reconocimiento facial. tecnologías.
Por ejemplo, la directriz norma ISO 27001 proporciona un enfoque sistemático para gestionar y proteger información confidencial, incluidos los datos utilizados por la tecnología de reconocimiento facial. "La implementación de ISO 27001 puede ayudar a las empresas a identificar riesgos, establecer controles y crear un sistema de gestión de seguridad de la información (SGSI) sólido", según Wilkins.
ISO 27701 ofrece una extensión de privacidad para ISO 27001 que aborda explícitamente la gestión de la privacidad.
Empresas que utilizan tecnología de reconocimiento facial para garantizar que manejan datos personales de conformidad con las normas de privacidad, como el RGPD.
"Aunque no es específico del reconocimiento facial, NIST CSF es un marco integral para gestionar los riesgos de ciberseguridad", concluyó Wilkins.
Matt Lewis, director de investigación técnica de NCC Group, ha investigado el impacto de la tecnología de reconocimiento facial y sus implicaciones en la privacidad de las empresas.
Riesgos y controversias del reconocimiento facial
Ha habido varias controversias relacionadas con la tecnología de reconocimiento facial.
En febrero de 2023, el Madison Square Garden anunció que prohibiría el uso de tecnología de reconocimiento facial en sus lugares después de una reacción violenta de activistas y clientes que se opusieron a la vigilancia masiva en el lugar.
En 2022, se reveló que Clearview AI había acumulado una base de datos de más de tres mil millones de imágenes faciales sin el consentimiento de las personas representadas. La Oficina del Comisionado de Información del Reino Unido multó a la empresa de reconocimiento facial con más de 7.5 millones de libras esterlinas por violar las leyes de privacidad.
Cumplimiento y reconocimiento facial
Si bien las preocupaciones sobre el uso indebido del reconocimiento facial deben tomarse en serio, la tecnología puede tener aplicaciones beneficiosas.
Clarence, un especialista en cumplimiento financiero, procesa aproximadamente $6 mil millones de dólares anualmente en pagos transfronterizos y utiliza tecnología de reconocimiento facial para garantizar y cumplir.
Según Clarency, la tecnología ofrece inclusión financiera a regiones excluidas y miembros de la sociedad que históricamente han estado excluidos de los servicios financieros.
"Muchas de nuestras transacciones involucran regiones que los bancos excluyen en gran medida", dijo a ISMS.online Jem Shaw, jefe de comunicación de Clarency. “El reconocimiento facial es parte de un programa mejorado de diligencia debida que nos permite realizar transacciones de manera compatible en dichas regiones.
Clarency captura de forma rutinaria una identificación con fotografía y, en algunos casos, un video en vivo de las contrapartes involucradas para verificar la identidad.
"Los sujetos aceptan fácilmente el requisito, ya que les permite realizar transacciones comerciales legales, seguras y conformes que de otro modo serían imposibles", añadió Shaw.
Clarency también utiliza tecnología de reconocimiento facial para remesas a domicilio y pagos en efectivo.
"Ofrecemos un método para rastrear el efectivo desde el pago hasta su digitalización para su posterior transmisión al receptor", explicó Shaw. "Esto se debe al reconocimiento facial en el punto de pago".
Las normas de cumplimiento bancario, que normalmente exigen que los datos deben almacenarse durante un mínimo de seis años, entran en conflicto con las exigencias del RGPD. Clarency utiliza tecnología de bóveda de datos para conciliar estos requisitos aparentemente contradictorios.
"Podemos caducar, eliminar o modificar la información en la bóveda siguiendo los requisitos del RGPD", explicó Shaw. “Si un individuo solicita la eliminación de datos personales, podemos hacerlo de inmediato. El acceso se puede controlar con granularidad ilimitada, hasta individuos, organizaciones, fechas de vencimiento, número de vistas, etc. hasta el infinito”.
La tecnología de reconocimiento facial "genera todo tipo de preguntas sobre si esta tecnología podría socavar los derechos fundamentales de privacidad y cómo se pueden controlar", según Natalie Cramp, directora ejecutiva de la consultora de ciencia de datos Profusion.
Cramp continuó: "Sin embargo, la tecnología de reconocimiento facial ofrece muchos beneficios, desde mejorar las medidas de seguridad, mejorar las experiencias digitales y proteger las empresas contra robos hasta incluso ayudar a encontrar personas desaparecidas".
Rebecca Harper, jefa de análisis de ciberseguridad de ISMS.online, concluyó: “El reconocimiento facial tiene sus ventajas, pero como cualquier herramienta, se trata de cómo se utiliza. El cumplimiento no puede ser una ocurrencia tardía”.
