La FTC estudia una propuesta de la industria del juego para verificar el consentimiento paterno mediante una tecnología de verificación facial de la edad.

La Comisión Federal de Comercio (“Federal Trade Commission”, FTC por sus siglas en inglés) está estudiando una propuesta que permitiría a las empresas utilizar “tecnología de estimación de edad” de escaneado biométrico facial para obtener el permiso paterno para que los menores de 13 años utilicen servicios de juegos en línea.

Yoti, una empresa de identidad digital (ID), junto con “Epic Games”, una filial de la empresa de gestión del consentimiento paterno “SuperAwesome”, y la Junta de clasificación de software de entretenimiento (“Entertainment Software Rating Board”, ESRB por sus siglas en inglés) presentaron la propuesta.

Solicitan la aprobación de la tecnología “Privacy-Protective Facial Age Estimation” (Estimación de la edad facial con protección de la intimidad) en virtud de la Ley de protección de la intimidad en línea de los niños (“Children’s Online Privacy Protection Act”, COPPA por sus siglas en inglés).

Según la COPPA, los sitios y servicios en línea “dirigidos a menores de 13 años” deben obtener el consentimiento paterno antes de recopilar o utilizar información personal de un menor.

La ley incluye varios “métodos aceptables para obtener el consentimiento paterno” y disposiciones “que permiten a las partes interesadas presentar nuevos métodos verificables de consentimiento paterno” para su aprobación.

El periodo de comentarios públicos de la FTC sobre la propuesta finaliza el 21 de agosto.

Las empresas que respaldan la propuesta afirman que la tecnología sólo obtiene partes de una imagen facial y que los datos se borran inmediatamente una vez finalizado el proceso de verificación.

Sin embargo, los activistas de la privacidad que hablaron con “The Defender” afirmaron que la propuesta no aborda suficientemente una serie de problemas de privacidad asociados a esta tecnología.

Algunos expertos también plantearon dudas sobre las implicaciones y los posibles usos indebidos de la tecnología de reconocimiento facial en general.

¿No es tan preciso como se dice?

La tecnología “Privacy-Protective Facial Age Estimation” “analiza la geometría de la cara de un usuario para confirmar que es mayor de edad”, según la FTC.

Según la propuesta presentada por los tres solicitantes:

“La estimación de la edad facial con protección de la intimidad ofrece un mecanismo preciso, fiable, accesible, rápido, sencillo y que preserva la intimidad para garantizar que la persona que da su consentimiento es el progenitor del niño.”

La propuesta compara la tecnología con los métodos de verificación existentes:

“La estimación de la edad facial utiliza tecnología de visión por ordenador y aprendizaje automático para estimar la edad de una persona a partir del análisis de patrones en una imagen de su rostro. El sistema toma una imagen facial, la convierte en números y los compara con patrones de su conjunto de datos de entrenamiento asociados a edades conocidas.

“Por el contrario, la tecnología de reconocimiento facial, que trata de identificar a una persona concreta a partir de una foto, busca medidas geométricas únicas de la cara, como la distancia y la relación entre los rasgos faciales, y trata de hacerlas coincidir con un conjunto único de medidas ya registradas en una base de datos junto con información identificativa única.”

Los solicitantes dijeron que su tecnología propuesta se basa en un “modelo de red neuronal alimentándolo con millones de imágenes de diversos rostros humanos con su mes y año de nacimiento reales”.

“El sistema convierte los píxeles de estas imágenes en funciones matemáticas que representan patrones. Con el tiempo, el sistema ha aprendido a correlacionar esos patrones con la edad conocida”, declararon los solicitantes.

Citando un libro blanco de Yoti, la propuesta explica cómo se procesan después estas imágenes:

“Al realizar una nueva estimación de la edad, el sistema extrae las porciones de la imagen que contienen un rostro, y sólo esas porciones de la imagen se analizan en busca de patrones coincidentes.

“Para emparejar patrones, cada nodo de la red neuronal de Yoti realiza una función matemática sobre los datos de los píxeles y pasa el resultado a los nodos de la capa siguiente, hasta que finalmente emerge un número al otro lado. Las únicas entradas son los píxeles de la cara en la imagen, y las únicas salidas son números. A partir de una revisión de los patrones numéricos, el sistema crea una estimación de la edad”.

Según la propuesta, el usuario se hace una foto a sí mismo (un selfie) asistido por un “módulo de captura facial automática” que guía la colocación de su cara en el encuadre. A continuación, el sistema comprueba si hay un rostro humano vivo en el encuadre y exige que la imagen se capture en el momento.

El sistema no acepta imágenes fijas, y las fotos que no cumplen los requisitos de calidad son rechazadas. “Estos factores minimizan el riesgo de elusión y de que los niños tomen imágenes de adultos sin que se den cuenta”, según la propuesta.

Julie Dawson, directora de normativa y regulación de Yoti, declaró a “Biometric Update” que el software “preserva la privacidad, es preciso y más fácil de usar por más padres” que las alternativas existentes.

“Además, hemos realizado más de cuatro millones de estimaciones de edad para “SuperAwesome” fuera de Estados Unidos, lo que demuestra su popularidad entre los padres. Cuando la estimación de la edad facial está disponible como opción para el consentimiento paterno fuera de EE.UU., más del 70 por ciento de los padres la eligen frente a otros métodos”, declaró.

Según “Biometric Update”, “‘SuperAwesome’ y Yoti han trabajado juntos en el software y empezaron a comercializarlo fuera de Estados Unidos a partir del año pasado. … Según se informa, tiene una precisión del 99,97 por ciento a la hora de identificar a un adulto”.

Pero las empresas también admiten que “un tercio de las personas en la Unión Europea y el Reino Unido hasta la fecha han sido bloqueadas por la estimación de la edad facial”, lo que lleva a cuestionar la verdadera precisión de la tecnología.

Y un artículo de Sifted de febrero de 2022 afirma que la tecnología “normalmente es capaz de estimar con precisión la edad dentro de un rango de cuatro a seis años”, y “tan recientemente como en 2018, la precisión no estaba donde debería estar en tonos de piel más oscuros.”

El anonimato “quedaría totalmente erradicado”.

Según el sitio web de “SuperAwesome”, la “información personal identificable” recogida por la tecnología “incluye nombre, dirección, geolocalización, dirección de correo electrónico u otra información de contacto, texto generado por el usuario o foto/vídeo, e identificadores persistentes (como ID de dispositivo y direcciones IP), muchos de los cuales son necesarios para las funciones básicas del producto.”

A pesar de las garantías de que no se recoge ninguna información personal, sólo partes de la imagen facial, y de que los datos se borran inmediatamente, el sitio web también afirma:

“Para ofrecer grandes experiencias en línea a las audiencias jóvenes, muchos servicios digitales, incluidos juegos, plataformas educativas y comunidades sociales, se benefician del uso de información personal para potenciar funciones clave o permitir la personalización.”

Lo que parece que no se aborda en estas declaraciones es la posibilidad de que los niños intenten utilizar el sistema de verificación de la edad de todos modos, además de la posibilidad de que las imágenes que se recojan puedan conectarse a otra información personal introducida por los niños o los padres como parte de un registro o compra en línea.

Tampoco está claro cómo el software, aparte de verificar que la persona cuyo rostro se escanea es un adulto, puede confirmar que también es el padre o tutor legal de ese niño, y no otra persona no relacionada.

Los expertos jurídicos y en privacidad que hablaron con “The Defender” se preguntaban cómo podría recopilarse la información personal identificable, así como las direcciones IP y los datos de geolocalización, a pesar de las garantías de lo contrario, y cómo podría utilizarse esa información, intencionada o inadvertidamente.

Una solución distópica

Greg Glaser, J.D., abogado residente en California, dijo a “The Defender” que la propuesta es “distópica”. Explicó:

“Los datos de tu rostro humano se identifican intrínsecamente contigo, lo que significa que si alguien ve tu cara, sabe quién eres aunque no conozca tu nombre. Dado que la imagen de tu rostro humano no puede desidentificarse a efectos de la ley de privacidad, las empresas tecnológicas necesitan autorización gubernamental para recopilar y utilizar los datos para nuevos usos (o mecanismos) según la ley de privacidad vigente.

“Esta acción de la FTC en virtud de la COPPA es otro paso en la dirección de la vigilancia por reconocimiento facial en tiempo real. Las empresas alegan que necesitan examinar en privado la cara y el cuerpo de tu hijo (sí, el cuerpo se ve con la cara) para mejorar la seguridad, pero es una solución distópica en busca de un problema ‘de minimis’ (de poca importancia).”

Michael Rectenwald, Ph.D, autor de “Archipiélago Google: El gulag digital y la simulación de la libertad” (“Google Archipelago: The Digital Gulag and the Simulation of Freedom”), dijo a “The Defender”:

“El uso de software de reconocimiento facial, supuestamente para verificar que los usuarios son niños, representa una puerta trasera para rastrear, localizar y vigilar a los usuarios de Internet hasta grados sin precedentes y hasta ahora inimaginables.

“Permitiría a las grandes tecnológicas, “Big Tech”, recopilar información biométrica de los usuarios, no solo para identificarlos como niños (o adultos) per se, sino precisamente como individuos concretos.”

Derrick Broze, fundador y redactor jefe de la Red de Resistencia Consciente (“The Conscious Resistance Network”), afirmó que estas prácticas también podrían conducir a la normalización del escaneado facial. Explicó:

“Mi mayor preocupación es cómo esta tecnología y otras siguen normalizando el escaneado de rostros de quienes son demasiado jóvenes para comprender plenamente la importancia de sus datos biométricos.

“Aunque Yoti sea una empresa de confianza, este proceso de escanear tu cara para verificar tu edad o identidad también ayudará a normalizar el escaneo de caras como una forma estándar de acceder a contenidos.”

En la misma línea, Glaser afirmó: “Cuanto más abran los reguladores esta puerta a la vigilancia facial, más capturarán estas empresas tecnológicas rostros y cuerpos no sólo al iniciar sesión, sino también continuamente durante el uso del producto. Alegarán que es necesario para impedir el acceso no autorizado durante el uso del producto”.

El abogado californiano, Robert Barnes, J.D., dijo que tal normalización podría, a su vez, conducir a una normalización del “control de masas”, declarando a “The Defender”:

“El hecho de que el gobierno quiera permitir que las empresas realicen pruebas biométricas a los niños es el último esfuerzo de vigilancia masiva. Dicha vigilancia consiste en realidad en el control masivo. ¿Cuándo ha funcionado eso a favor de más libertad para la gente en lugar de menos?”

Varios de los expertos advirtieron de que puede haber otras razones subyacentes detrás de la expansión del reconocimiento facial y la vigilancia biométrica, y alertaron de las consecuencias potencialmente perjudiciales para la privacidad y el anonimato de las personas.

En palabras de Glaser: “En general, hay una razón siniestra por la que las empresas tecnológicas desean vigilar abiertamente nuestros rostros y cuerpos mientras utilizamos sus productos.

Explicó:

“Somos personas normales, así que ingenuamente suponemos que la razón benigna es que las empresas quieren mejorar la seguridad de sus productos y servicios, pero la realidad es mucho más oscura. Los datos de rostros humanos en tiempo real son muy valiosos para realizar análisis del comportamiento humano en IA [Inteligencia Artificial]. Y no sólo por motivos de marketing y seguridad. Es para el desarrollo por IA de nuevos productos a los que nunca consentiríamos.

“Por ejemplo, Facebook no es una organización benéfica: desean utilizar la nueva IA para convertir tus vídeos familiares en metaexperiencias interactivas que puedan revender no solo a ti, sino a otros.

“Sin rodeos, el deseo de Facebook es vender la voz y las imágenes de tu hijo como experiencias en 3D que los adultos siniestros disfrutan en Meta. Y Facebook no es el único en sus perversiones”.

En el sitio web de Yoti figura Meta, la empresa matriz de Facebook, como una de las empresas que “confían” en sus productos.

Según Rechtenwald, “las grandes empresas tecnológicas, “Big Tech”, podrían crear así una base de datos de identidad verificada biométricamente y repleta de perfiles digitales precisos, que podrían utilizarse para fines de marketing, pero también políticos, gubernamentales y de otro tipo”, añade:

“Dado el frecuente intercambio de datos de los usuarios entre las agencias gubernamentales y las plataformas “Big Tech”, estas nuevas identidades digitales permitirían al gobierno emprender operaciones de vigilancia de precisión, inteligencia y recopilación de datos”.

“La última línea de la privacidad en línea, a saber, el anonimato, quedaría totalmente erradicada. Además, los piratas informáticos y otras personas sin escrúpulos podrían acceder a esos datos para cualquier número de fines, como el chantaje, la extorsión, el tráfico sexual y de menores, etc.”

En una línea similar, Glaser dijo que al legalizar estas tecnologías, “los reguladores están legalizando de hecho la pornografía infantil.” Le dijo a “The Defender”:

“Me sorprende que los legisladores y los reguladores no miren en esto dos pasos más allá para proteger proactivamente a los niños de la IA. Las empresas tecnológicas han sido sorprendidas habitualmente vendiendo pornografía infantil subida a sus sitios. ¿Se reformaron? No, se están convirtiendo activamente en pornógrafos de vigilancia dirigidos a niños.

“Con la enorme cantidad de datos que pueden recopilar de la monitorización en tiempo real de las cámaras de teléfonos y dispositivos, junto con las capacidades avanzadas de análisis de IA, los reguladores están en la práctica legalizando la pornografía infantil.”

Los denunciantes han afirmado anteriormente que el gobierno de Estados Unidos tiene un historial deficiente en la protección de menores, incluso frente al tráfico de personas.

Por ejemplo, en abril, Tara Lee Rodas, denunciante del Departamento de Salud y Servicios Humanos de Estados Unidos, afirmó que el gobierno estadounidense se ha convertido en el “intermediario” en el transporte de menores no acompañados a través de la frontera entre Estados Unidos y México.

Durante el testimonio prestado ante el Subcomité Judicial de la Cámara de Representantes sobre Integridad, Seguridad y Aplicación de la Ley de Inmigración el 26 de abril, Rodas dijo:

“Pensé que iba a ayudar a colocar a niños en hogares cariñosos. En cambio, descubrí que los niños son objeto de trata a través de una sofisticada red que comienza con la captación en su país de origen, el contrabando hasta la frontera estadounidense y termina cuando la ORR [“Office of Refugee Resettlement”] entrega un niño a un padrino, algunos padrinos son delincuentes y traficantes y miembros de Organizaciones Criminales Transnacionales”.

Y Broze advirtió de que, a pesar de las garantías de privacidad, las normativas pueden cambiar posteriormente.

“Aunque es admirable que Yoti y sus socios afirmen que no almacenan las imágenes de la cara de un niño y no comparten los datos, la historia ha demostrado que estas normativas corporativas pueden cambiar con el tiempo”, dijo.

Empresas de reconocimiento de edad vinculadas a “Big Tech”, “BlackRock” y agencias gubernamentales

Yoti, “SuperAwesome” y “Epic Games” también están relacionadas con otras grandes empresas y organizaciones.

Se describe a sí misma como “una empresa de identidad digital que hace más seguro que las personas demuestren quiénes son” mediante “el empoderamiento de las personas con una aplicación de identificación digital gratuita y reutilizable que minimiza los datos que comparten con las empresas”, Yoti afirma que trabaja con “asesores políticos, grupos de reflexión (“think tanks”), investigadores, académicos, organismos humanitarios, nuestros usuarios y la gente común”.

La empresa también afirma guiarse por “siete principios éticos”, entre ellos “fomentar la propiedad de los datos personales”, “permitir la privacidad y el anonimato” y “mantener seguros los datos sensibles”.

Aparte de las asociaciones con entidades como Meta, el Servicio Nacional de Salud del Reino Unido, el aeropuerto de Heathrow en Londres y el Gobierno de Jersey, Yoti, en 2019, recaudó 8 millones de libras esterlinas (aproximadamente 10,2 millones de dólares) de “inversores privados no identificados.”

“SuperAwesome”, por su parte, se presenta como una empresa que proporciona “soluciones de marketing juvenil” que “potencia el ecosistema de medios digitales juveniles” a través de “Ads marketplace & gaming solutions”, “YouTube & influencer media” y “Parental consent management.”

“No se puede ignorar al público joven”, afirma la empresa. “[As] [Al tratarse de] algunos de los usuarios digitales de más rápido crecimiento y más comprometidos, son un público fundamental para impulsar el compromiso.

“SuperAwesome” también promueve la participación de los jóvenes en el metaverso. Por ejemplo, un informe que ha publicado la empresa, titulado “Cómo las marcas pueden conectar con el público joven en el metaverso” (“How brands can connect with young audiences in the metaverse”), examina “cómo las marcas pueden crear contenidos de marca en el metaverso que los jóvenes quieran ver”.

El desarrollador y vendedor de videojuegos “Epic Games”, empresa matriz de “SuperAwesome”, ha atraído a importantes inversores corporativos, como BlackRock, “Walt Disney Company” y “Disney Accelerator”, Sony y Tencent.