Tecnología de reconocimiento facial: el caso Kmart

Hoy leí el informe de investigación sobre Kmart de Australia, un gigante minorista que utilizó tecnología de reconocimiento facial (TRF) en TODOS los clientes durante 2 años sin consentimiento. ¿Qué sucede cuando las nobles intenciones chocan con la falta de una gobernanza adecuada?

¿Ha sucedido antes?

¡Sí! En 2024, se descubrió que Bunnings, una importante cadena de tiendas de bricolaje, también utilizaba TRF en sus tiendas, la misma historia, diferentes razones. Para Bunnings, se trataba de prevenir la agresión de los clientes hacia el personal. Se solicitó a la dirección de la tienda que publicara una explicación de cómo funciona exactamente la tecnología, lo que hicieron.

(Fuente: https://www.bunnings.com.au/about-us/facial-recognition-technology)

Kmart utilizó la tecnología para intentar combatir el fraude en las devoluciones, como devolver artículos robados o cambiar códigos de barras, un problema grave: solo en los EE. UU., alrededor del 15 % de las devoluciones implicaron algún tipo de fraude en 2024, lo que costó miles de millones.

¿Por qué el Comisionado de Privacidad dictaminó que no estaba bien?

A pesar de las buenas razones detrás de la decisión de implementar la tecnología, el Comisionado de Privacidad dictaminó que Kmart había violado la Ley de Privacidad (en Australia, no existe una legislación específica sobre IA, por lo que se aplican las leyes existentes). “El hecho de que una tecnología pueda ser útil o conveniente no significa que su uso sea justificable”, dijo, mencionando el tema de la proporcionalidad: el beneficio de usar una tecnología debe superar clara y abrumadoramente los riesgos de privacidad que plantea. Las “huellas faciales” que la tienda recopiló, incluso si no se almacenaron por más de un segundo, se utilizaron para la comparación, lo que convierte una foto de información personal a información sensible, una distinción muy importante.

El sistema escaneaba a todos los que entraban, recopilando datos biométricos de cientos de miles de personas, no solo de los pocos malhechores. Pero no era muy bueno en su trabajo: la cantidad de fraude evitado fue mínima en comparación con el problema general. El riesgo masivo para la privacidad de cada cliente no fue superado por los beneficios muy limitados.

Es importante destacar que la empresa nunca exploró adecuadamente alternativas menos invasivas para la privacidad, como una mejor capacitación del personal o políticas de devolución más estrictas. El Comisionado enfatizó que la empresa no necesitaba encontrar una alternativa que fuera igualmente efectiva para prevenir el fraude. En cambio, solo tenían que demostrar que habían considerado y rechazado adecuadamente otros métodos menos invasivos para la privacidad. La empresa no lo hizo.

Finalmente, si bien la empresa exhibió un Aviso de Condiciones de Entrada “actualizado” en la entrada de la tienda, que indicaba que la tienda tenía “cobertura de CCTV las 24 horas, que incluye tecnología de reconocimiento facial”, muchas tiendas estuvieron usando la tecnología durante meses antes de que se exhibiera este aviso, lo que significa que una gran cantidad de clientes no sabían del uso de la tecnología cuando entraron. La política de privacidad, que estuvo en vigor durante más de un año después de que comenzara el piloto, no mencionaba el reconocimiento facial en absoluto.

No se trata de avergonzar a las empresas. Ni Bunnings ni Kmart fueron multados. Es un recordatorio para todas las organizaciones: la transparencia, la necesidad y la proporcionalidad son las consideraciones clave al implementar sistemas de reconocimiento facial como este.

¿Qué opinas sobre esto? ¿Deberían las empresas tener derecho a utilizar la TRF para proteger su negocio, incluso si afecta la privacidad de cada cliente?