En las próximas semanas muchos de nosotros transitaremos por algún aeropuerto para viajar en las tan ansiadas vacaciones de verano. Y a muchos nos ofrecerán simplificar los trámites de facturación, control de seguridad o embarque mediante algún sistema que incorpore mecanismos de reconocimiento facial. 

Casi seguro tendremos que hacernos un selfi, puede que con una app instalada en nuestro teléfono móvil, puede que con un dispositivo del propio aeropuerto. Es probable que tengamos que mostrar o escanear la fotografía de nuestro pasaporte, o escanear el chip que incorpora en muchos países. 

El ejemplo del aeropuerto es solo uno de los muchos que encontramos en nuestras vidas personales y profesionales. Ese gesto que implica verificar nuestra identidad mediante un selfi es cada vez más común, y lo realizamos cada vez de manera más inconsciente. Lo que al principio nos podía resultar exótico, llamativo o incluso incómodo, ahora es un gesto cotidiano. 

Utilizamos nuestra cara para desbloquear el teléfono móvil, para abrir una puerta, para demostrar que somos quienes decimos ser mientras hacemos un examen o para contratar una cuenta bancaria en remoto. También para pagar una compra o para comer el menú en la cafetería del trabajo. 

Todas estas soluciones diseñadas en principio para hacer nuestras vidas más sencillas y seguras, se basan en técnicas de reconocimiento facial. Es decir, comparan la cara que se captura con el selfi con una precargada en el sistema que se puede recuperar de una base de datos externa o que se proporciona en tiempo real desde el chip de una tarjeta o documento de identidad. El objetivo siempre es el mismo: determinar si la cara que es y la que debería ser se parecen lo suficiente. 

De ser así, la identidad de esa persona se da por verificada y tiene permiso para hacer aquello que había solicitado. Por el contrario, si las dos caras no se parecen lo suficiente, ese permiso es denegado. 

Sin embargo, no todo es perfecto cuando usamos este sistema. Utilizar un atributo biométrico, como puede ser nuestra cara, para realizar procesos de verificación de identidad, implica riesgos. El primero tiene que ver con la naturaleza de los datos que se procesan para realizar la verificación de identidad. 

Como ya se ha mencionado, se trata de datos biométricos muy sensibles que pueden identificarnos, es decir, permitir que un tercero averigüe nuestra identidad real (algo sencillo hoy en día a partir de una cara con un simple buscador de internet). También permiten ligar nuestra cara a nuestras actividades, y asociar, además, metadatos tan críticos como la geolocalización, una dirección IP, las características únicas de un dispositivo determinado (nuestro móvil, por ejemplo). Es posible también que no permitan que neguemos haber realizado una actividad o haber estado en un sitio concreto a una hora concreta. 

El segundo riesgo tiene que ver con el desequilibrio de poder. Normalmente, quien realiza el proceso de verificación de identidad (una aerolínea, un banco, un operador de telecomunicaciones) no ofrece otras alternativas para realizarlo: o es mediante reconocimiento facial o no es. Y esto hace que el consentimiento que proporciona el sujeto no sea libre, quiere coger su vuelo a tiempo, necesita abrirse esa cuenta bancaria. Y, en muchos casos, ni siquiera es informado, ya que no se comprende bien ni qué datos se procesan exactamente ni para qué. ¿Se quedan guardados? ¿Cuánto tiempo? ¿Se usan para algo más? ¿Se comparten con otros? 

El tercer riesgo tiene que ver con el uso de bases de datos centralizadas. Casi todos estos procesos de verificación de identidad se basan en almacenar, en un repositorio único, identidades de sujetos y los datos de sus caras, para poder realizar las comprobaciones oportunas, las verificaciones.