Heidy Balanta

Docente y consultora en protección de datos personales

Contacto: hb@escueladeprivacidad.com

Estamos llegando a un punto en el que cualquier dato puede llegar a considerarse un dato personal. En el paradigma tradicional se entendía que un dato personal debía permitir la identificación y/o determinación de la persona. Hoy por hoy sabemos que no es así. De hecho, nuestra apreciada, aunque ya desactualizada Ley de Protección de Datos lo deja claro cuando define el dato personal como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”. Atrás quedaron las discusiones sobre si las cookies, una dirección IP o un identificador en línea podían llegar a considerarse datos personales. Hoy, casi cualquier dato asociado a una persona que razonablemente facilite su identificabilidad es, o puede ser, un dato personal, aun cuando no revele de inmediato quién es la persona titular (claro, depende mucho del contexto).

A la luz de la tecnología contemporánea y del avance de la analítica de datos, es posible reidentificar, relacionar, derivar o inferir atributos personales a partir de fragmentos nimios y también a partir de la información que nos fascina regalar en internet. Pero ¿cómo funciona esto?

Bancos de imágenes y etiquetado posterior

Las redes sociales y los foros en línea comenzaron a almacenar grandes volúmenes de contenido, incluyendo imagenes, comentarios, reacciones, desde sus primeros años. Aunque las técnicas de raspado de datos (web scraping) surgieron más adelante, estas han permitido que empresas especializadas extraigan, de forma masiva, imágenes y textos que han estado disponibles en internet desde hace décadas. Posteriormente, este contenido que se extrae se organiza, clasifica y etiqueta por esas mismas empresas o por otras a las que subcontratan para identificar objetos, actividades y rasgos humanos: por ejemplo, manos saludando, bebés llorando, personas manejando, gestos faciales, selfies, ojos o labios.

Estas colecciones etiquetadas se utilizan para entrenar modelos de visión por computador, una rama de la inteligencia artificial (IA) que requiere grandes cantidades de datos visuales para aprender a reconocer patrones y elementos del mundo físico[1]. Dicho contenido, puede ser reutilizado en sistemas de vigilancia, reconocimiento facial, o predicción de comportamiento, que pueden terminar afectando libertades fundamentales, alimentar sesgos o integrarse en contextos que ponen en riesgo la privacidad, la seguridad y otros derechos de las personas.

Rostros para el entrenamiento de reconocimiento facial

Quienes se alarmaron recientemente por el filtro “Studio Ghibli” de ChatGPT y la posibilidad de que su imagen fuera utilizada para entrenar modelos de IA, lamentablemente se preoucuparon un poco tarde. Si existe una fotografía suya publicada en internet, es altamente probable que ya haya sido recopilada por sistemas automatizados y utilizada, muchas veces sin su conocimiento ni consentimiento, para entrenar algoritmos. Un ejemplo ampliamente documentado es el de Clearview AI, que presume de haber recolectado más de 30.000 millones de imágenes faciales de diversas fuentes públicas en línea[2].

Es importante aclarar que una fotografía por sí sola no constituye un dato biométrico. Para que se considere un dato biométrico, debe ser procesada mediante técnicas que extraigan rasgos únicos y medibles del rostro, por ejemplo, transformando los píxeles de la cara en vectores matemáticos, con el fin de identificar o autenticar a una persona. Esa extracción y uso con fines de reconocimiento es lo que activa la protección legal reforzada que tienen los datos biométricos en muchos marcos normativos como el nuestro, que son considerados datos sensibles y se encuentra prohibido su tratamiento, salvo las excepciones previstas en la ley 1581 de 2012.  (De esto hablamos en alguna ocasión: Datos biométricos: ¿Qué son y por qué necesitan protección especial? )

¿Emociones como datos personales? Así es…

Sí, las emociones también pueden llegar a considerarse datos personales, siempre y cuando permitan identificar directa o indirectamente a una persona, o se utilice para tomar decisiones que produzca efectos jurídicos o similares en esta.

Por ejemplo, al escribir un comentario en una web de reseñas como:  “¡umm…buenísimo!”, “Volvería mil veces” (emoji cara enojada), exige que la IA distinga si hablas en serio o con ironía. Lo mismo ocurre con la expresión facial: también se categoriza. Existen modelos de procesamiento de lenguaje natural y tecnicas de análisis de sentenmientos que etiquetan el contenido, así como las microexpresiones faciales para inferir el estado emocional. Esta información puede utilizarse con fines comerciales, ya sea para ajustar precios de los productos en razón al estado de animo, configurar estrategias de segmentación política o publiciidad conductual.

Píxeles, sí, los de las imágenes

Un solo píxel puede aportar información sensible en el análisis de una imagen. El estudio del histograma de color permite inferir características físicas como el tono de piel o el color del cabello, lo cual puede ser utilizado, por ejemplo, en aplicaciones de citas para alimentar algoritmos de recomendación y afinidad. Este tipo de análisis, aparentemente técnico, puede tener implicaciones relevantes cuando se utiliza para perfilar o tomar decisiones automatizadas sobre las personas[3].

Cierro, pero sigue más…

Hasta ahora, hice referencia solo a los datos que dejamos voluntariamente en internet,  pero no profundicé en los datos observados, los datos derivados y los datos inferidos, que se entrecruzan constantemente en los sistemas automatizados. Estas categorías encierran sorpresas más inquietantes, debido a que estos datos no los generamos conscientemente: los produce la máquina a partir de nuestras acciones, patrones y relaciones. Y aunque para las grandes plataformas tecnológicas son plenamente visibles y explotables, para nosotros, los titulares de esos datos, permanecen opacas, inaccesibles y, muchas veces, inimaginables[4].

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.