Biometría en la UE: Navegando el GDPR y la Ley de IA
Las tecnologías biométricas se han utilizado desde hace tiempo para identificar a individuos, principalmente en contextos de seguridad y aplicación de la ley. Sin embargo, su uso se está expandiendo rápidamente a nuevos dominios. Impulsadas por avances en la inteligencia artificial, las tecnologías biométricas ahora afirman tener la capacidad de inferir las emociones, rasgos de personalidad y otras características de una persona basándose únicamente en características físicas.
Estas herramientas se utilizan cada vez más en diversos entornos: las empresas analizan las expresiones faciales para evaluar el sentimiento del cliente y evaluar candidatos laborales, los empleadores implementan herramientas de monitoreo para medir la concentración de los empleados y las plataformas en línea aprovechan el software biométrico para hacer cumplir las restricciones de edad.
Regulaciones Europeas
Las regulaciones europeas han evolucionado en respuesta a este cambiante panorama. Desde 2018, el Reglamento General de Protección de Datos (GDPR) de la UE ha regido el procesamiento de datos biométricos como una forma de datos personales y, cuando se utilizan para identificar de manera única a individuos, como «datos de categoría especial». El procesamiento de datos de categoría especial está generalmente prohibido a menos que el individuo proporcione consentimiento explícito o se aplique otra condición bajo el Artículo 9(2).
Construyendo sobre esta base, la Ley de IA de la UE introduce una nueva capa de regulación que apunta a cuatro tipos de biometría y los clasifica por riesgo — desde prohibido hasta alto riesgo y riesgo limitado — según su propósito y contexto de uso.
Identificación biométrica remota
Los sistemas de identificación biométrica remota son sistemas de IA diseñados para identificar a individuos sin su participación activa, típicamente a distancia. Un ejemplo común es el software de reconocimiento facial que escanea imágenes de CCTV para identificar personas en tiempo real o retrospectivamente al comparar imágenes con una base de datos biométrica. Notablemente, esta definición excluye herramientas de verificación y autenticación biométrica, como el escaneo de huellas dactilares utilizadas para el control de acceso a edificios o desbloquear teléfonos inteligentes, ya que estas implican la participación activa del individuo.
Bajo la Ley de IA, el uso de sistemas de identificación biométrica remota en tiempo real — que capturan y analizan datos biométricos simultáneamente — está prohibido para fines de aplicación de la ley, excepto en circunstancias definidas de manera estricta. Todos los demás usos de sistemas de identificación biométrica remota, incluyendo sistemas post-remotos que analizan datos biométricos después de la captura inicial, están permitidos pero clasificados como de alto riesgo. Esta designación activa una serie de obligaciones de cumplimiento, que incluyen requisitos sobre gestión de riesgos, gobernanza de datos, supervisión humana y registro en la base de datos de la UE.
Categorización biométrica
Los sistemas de categorización biométrica son sistemas de IA que asignan a individuos a categorías específicas basadas en sus datos biométricos. Estas categorías pueden relacionarse con rasgos relativamente inofensivos, como la edad o el color de ojos, o atributos más sensibles y controvertidos como el sexo, la etnicidad, los rasgos de personalidad y las afiliaciones personales. Sin embargo, la definición excluye la categorización biométrica que es puramente auxiliar a servicios comerciales, como características de prueba virtual o augmentación facial en mercados en línea y aplicaciones de juegos, que ajustan filtros según el tono de piel o la estructura facial de un individuo.
Bajo la Ley de IA, los sistemas de categorización biométrica que categorizan individuos según ciertas características prohibidas — incluyendo raza, opiniones políticas, membresía a sindicatos, religión y orientación sexual — están prohibidos, con excepciones limitadas para etiquetar o filtrar conjuntos de datos biométricos y ciertos usos médicos, de seguridad y de aplicación de la ley. Los sistemas de categorización biométrica que involucran otras características sensibles o protegidas son clasificados como de alto riesgo, lo que activa obligaciones equivalentes a las de los sistemas de identificación biométrica remota. Todos los demás sistemas de categorización biométrica, donde las categorías involucran rasgos no prohibidos y no sensibles, son considerados de riesgo limitado y están sujetos a requisitos de transparencia.
Reconocimiento de emociones
Los sistemas de reconocimiento de emociones son sistemas de IA diseñados para identificar o inferir las emociones o intenciones de un individuo basándose en sus datos biométricos. La Ley de IA distingue entre la inferencia de emociones — regulada — y la detección de expresiones o estados físicos evidentes — no regulada. Por ejemplo, un sistema que identifica si alguien está sonriendo o cansado no se considera un sistema de reconocimiento de emociones, mientras que un sistema que interpreta expresiones faciales para concluir si la persona está feliz, triste o divertida cae dentro del ámbito de regulación. La definición de un sistema de reconocimiento de emociones también excluye el software de análisis de sentimientos que depende únicamente de texto y otros insumos no biométricos.
La Ley de IA prohíbe los sistemas de reconocimiento de emociones en entornos laborales y educativos, excepto donde sea estrictamente necesario por razones médicas o de seguridad. En otros contextos, son clasificados como de alto riesgo y sujetos a extensos requisitos de cumplimiento. Esto significa que, por ejemplo, usar análisis de voz para evaluar el sentimiento del cliente durante llamadas de soporte se consideraría de alto riesgo, mientras que aplicar la misma tecnología para monitorear las emociones de los empleados en el mismo contexto estaría prohibido. De manera similar, las herramientas de aprendizaje potenciadas por IA que utilizan el reconocimiento de emociones son generalmente de alto riesgo, pero su uso está prohibido en escuelas y otros entornos de aprendizaje.
Bases de datos de reconocimiento facial
Finalmente, la Ley de IA prohíbe el desarrollo o expansión de bases de datos de reconocimiento facial a través de la recolección indiscriminada de imágenes faciales de internet o imágenes de CCTV. Esta prohibición es absoluta y no hay excepciones. Sin embargo, se aplica específicamente a imágenes faciales y no se extiende a bases de datos biométricas construidas utilizando otros tipos de datos biométricos, como grabaciones de voz.
Navegando la superposición
La intersección del GDPR y la Ley de IA crea un marco regulatorio estratificado para las tecnologías biométricas en la UE. Mientras que las prohibiciones de la Ley de IA entraron en vigor en febrero de 2025, las reglas para sistemas de alto y riesgo limitado no se aplicarán hasta agosto de 2026. Mientras tanto, las organizaciones enfrentan obligaciones superpuestas que presentan desafíos significativos de cumplimiento para aquellos que desarrollan y utilizan estas tecnologías.
Primero, navegar la superposición entre el GDPR y la Ley de IA requiere un mapeo cuidadoso de roles y responsabilidades a través de ambos marcos. Una empresa que utiliza una herramienta biométrica internamente puede actuar simultáneamente como controlador bajo el GDPR y como desplegador bajo la Ley de IA, activando obligaciones de cumplimiento distintas. Al mismo tiempo, los proveedores de herramientas biométricas — que pueden considerarse típicamente procesadores bajo el GDPR — enfrentan los requisitos más extensos bajo la Ley de IA, particularmente para sistemas de alto riesgo.
En segundo lugar, las clasificaciones de riesgo de la Ley de IA son complejas y a menudo difíciles de interpretar. Determinar si un sistema está prohibido, es de alto riesgo o de riesgo limitado requiere una comprensión matizada de la tecnología y el contexto específico de su uso. Aunque la Comisión Europea ha publicado directrices sobre las prohibiciones, algunos límites también permanecen ambiguos. Esto incluye, por ejemplo, la distinción entre categorización biométrica prohibida y de alto riesgo y si una inferencia califica como reconocimiento de emociones o simplemente identifica las expresiones faciales de una persona.
En tercer lugar, los requisitos sustantivos para sistemas de alto riesgo representan una importante empresa operativa y financiera. Los proveedores de estos sistemas deben implementar un extenso conjunto de salvaguardias — incluyendo procedimientos de gestión de riesgos, controles de calidad de datos y gobernanza, monitoreo post-mercado, mecanismos de registro y supervisión humana — mientras que los desplegadores tienen obligaciones más limitadas, pero relacionadas. Para muchas organizaciones, especialmente startups y pequeñas y medianas empresas, estas demandas pueden desincentivar la innovación o retrasar el lanzamiento de productos dentro de la UE.
Juntas, estos desafíos marcan un cambio del modelo de cumplimiento del GDPR, basado en el aviso y el consentimiento, a uno que requiere una gobernanza proactiva y basada en el riesgo a lo largo del ciclo de vida. Para los profesionales legales, un cumplimiento efectivo exige no solo un sólido dominio del marco legal, sino también una profunda comprensión de la tecnología subyacente, su uso previsto y el papel de la organización dentro de la cadena de suministro de la IA.
