«Detectores de mentiras basados en inteligencia artificial para control migratorio: ¿el futuro de las fronteras europeas?», tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.
La inteligencia artificial se postula como una potencial solución a los crecientes embudos en los controles de fronteras de la zona Schengen. Sin embargo, ¿cuál es el impacto jurídico de estos procesos automatizados? Y, ¿qué efecto tienen en los derechos y libertades de los viajeros?
La libre circulación de personas en el espacio europeo es uno de los pilares de la Unión Europea. Gracias al Acuerdo Schengen las personas que gozaban del derecho a la libre circulación conforme al derecho de la Unión únicamente eran sometidas a inspecciones mínimas de su documentación a la hora de cruzar la frontera. Esto cambió hace año y medio con el Reglamento 2017/458[1], como respuesta al creciente fenómeno de los combatientes terroristas extranjeros, que hizo patente la insuficiencia de los controles fronterizos del momento para frenar el terrorismo.
Es por ello que, desde abril del año pasado, los europeos que entren o salgan del territorio de los Estados miembros son sometidos de manera sistemática a un chequeo más intenso. Este cambio ha contribuido a aumentar la presión a la que ya se venían siendo sometidos los puestos de control en las fronteras, incapaces de asumir los 700 millones de personas que entran al territorio de la UE cada año de manera eficiente.
Para hacer frente a este problema la Unión Europea está financiando un proyecto denominado iBorderCtrl (Intelligent Portable Control System), que consiste en un sistema de control inteligente. De esta manera, el proceso de control en la frontera quedaría dividido en dos etapas: inicialmente, el viajero sube a través de una aplicación online imágenes de su documento identificativo, visado y demás documentación, y responde a través de una webcam a las preguntas de un guardia de seguridad virtual. Estas preguntas pueden consistir, por ejemplo, en: “¿qué llevas en la maleta?” Y “si abres la maleta y me enseñas lo que hay dentro, ¿confirmará que has dicho la verdad?”. El iBorderCtrl analiza mediante tecnología basada en inteligencia artificial hasta 38 microexpresiones del viajero para determinar si está mintiendo.
En base a la información obtenida en esta primera etapa, el sistema clasifica a los viajeros por niveles de riesgo. Así, los que determine que suponen un riesgo bajo podrán cruzar la frontera tras un chequeo rápido de la información a modo de autenticación, mientras que aquellos clasificados como de mayor riesgo deberán someterse a controles más intensivos, que incluyen la comprobación de sus identificadores biométricos. Este paso es realizado también a través de iBorderCtrl, que reevaluará el nivel de riesgo asignado inicialmente con los nuevos datos obtenidos, y en el caso de que el sujeto siga siendo considerado como de riesgo alto un agente real tomará el relevo en la evaluación.
A pesar de lo futurista que pueda parecer esta propuesta, en la actualidad se encuentra en fase de prueba en Hungría, Grecia y Letonia, la cual se alargará hasta agosto del año que viene, y es determinante para ampliar la muestra y así el porcentaje de acierto del sistema.
Sin embargo, el uso iBorderCtrl plantea numerosos dilemas tanto éticos como legales, y existen detractores de la implantación de un “detector de mentiras” basado en machine learning para controlar la entrada y salida de la UE, tachándolo de pseudociencia y apelando a la falta de fiabilidad de estos sistemas.
Otro problema con el que se enfrenta esta tecnología es la potencial existencia de un sesgo en la muestra que conlleve la toma de decisiones discriminatorias por razón de raza, edad o sexo. En este sentido, tenemos el ejemplo de COMPAS en EEUU, un software utilizado por jueces para calcular la condena a imponer, el cual se demostró que consideraba a los acusados de raza negra como más susceptibles de reincidir que a los de raza blanca.
En lo relativo a la protección de datos, tampoco se halla exento de problemática. Por un lado, el RGPD establece que el tratamiento de datos personales debe limitarse al mínimo necesario para la finalidad perseguida. Atendiendo a las características de iBorderCtrl, parece complicado argumentar que no exista una manera menos intrusiva de llevar a cabo el control de seguridad en las fronteras.
En cuanto a la legitimación del tratamiento de datos personales, al no encontrarse este proceso previsto en la normativa nacional o europea como medio de control de entrada y salida de viajeros, no puede ampararse el tratamiento en el cumplimiento de una obligación legal. Es por ello que, por ahora, está basándose en el consentimiento, y en esta primera fase de despliegue únicamente se utilizará iBorderCtrl con los viajeros que otorguen un consentimiento informado, previéndose que podrá retirarlo en cualquier momento del proceso. De esta manera se estaría dando cumplimiento a su vez a lo previsto en el artículo 22 del RGPD, que requiere que en aquellos casos en que se lleve a cabo un tratamiento que conlleve la toma de decisiones de manera automatizada, se informe debidamente y se dé la posibilidad de oponerse en cualquier momento. Asimismo, mediante la intervención final del agente físico se asegura el derecho a obtener intervención humana en la decisión.
Debe tenerse en cuenta las implicaciones del uso de datos biométricos de los viajeros, como son la huella dactilar, el escaneo de las venas de la palma de la mano o la biometría facial. Estos datos son considerados por la normativa como datos de categoría especial o datos sensibles, y su uso está restringido y sometido a limitaciones. El antiguo Grupo de Trabajo del artículo 29, actual Comité Europeo de Protección de Datos, ha entendido que los tratamientos de este tipo de datos suponen un riesgo para los derechos y libertades de los interesados, más aún cuando va de la mano con el uso de tecnologías innovadoras o se apoya en Big Data, como es el caso. La consecuencia inicial de esto es la necesidad de realizar una evaluación de impacto (PIA por sus siglas en inglés), para determinar si mediante la adopción de unas medidas de seguridad suficientes puede reducirse el riesgo inherente al tratamiento a un nivel aceptable.
Este análisis tiene en su centro el eterno dilema de seguridad o libertad, si los derechos de los viajeros son sacrificables en aras de un espacio más seguro. La importancia radica en el diseño previo de esta tecnología, que, en base al principio de Privacy by Design, desde el origen se halla considerado la privacidad como guía y línea roja a respetar.
Hoy, el debate es en torno al control de nuestras fronteras, pero cada día surgen nuevas aplicaciones basadas en este tipo de tecnologías y, partiendo de que deben ser sometidas a rigurosos exámenes y analizadas con ojo crítico en su respeto a nuestros derechos, no debemos permitir que la legislación se convierta en un lastre para el progreso.
[1] Reglamento (UE) 2017/458 dl Parlamento Europeo y del Consejo de 15 de marzo de 2017 por el que se modifica el Reglamento (UE) 2016/399 en lo relativo al refuerzo de los controles mediante la comprobación en las bases de datos pertinentes en las fronteras exteriores.