Según el dicho: si parece un pato, nada como un pato y grazna como un pato, entonces probablemente sea un pato. Ahora, si alguien aparece en un vídeo y es de la misma raza, género y edad que usted, gesticula y expresa sus emociones igual que usted y, de hecho esa imagen se basa en la suya aunque no sea exactamente a usted... ¿sigue siendo usted?

El cofundador de la compañía de privacidad israelí D-ID Gil Perry asegura que no. Y afirma que ese el motivo por el que su start-up funciona tan bien. D-ID toma imágenes de vídeo captadas por cámaras instaladas, por ejemplo, en tiendas, y utiliza la visión artificial y el aprendizaje profundo para crear una alternativa que proteja la identidad de la persona que aparece en el vídeo. Ese proceso convierte a la persona que aparece en un avatar con sus mismos atributos pero con un aspecto un tanto diferente. 

La ventaja para las empresas consiste en que este nuevo tipo de vídeo "anonimizado" ya no revela la identidad exacta de un cliente, lo que para Perry significa que las compañías que usan D-ID pueden "eliminar la necesidad de consentimiento" y analizar el material que captan para mejorar sus modelos de negocio y sus estrategias publicitarias. Una tienda podría, por ejemplo, enviar un vídeo de una mujer blanca de aspecto feliz a un algoritmo que le mostraría anuncio más efectivo para ella en tiempo real. (Vale la pena señalar que la legitimidad del reconocimiento de emociones ha sido pueda en duda, y un destacado grupo de investigación de inteligencia artificial -IA- recientemente solicitó que se prohibiera por completo su uso). 

Los ejemplos del servicio de "anonimización inteligente" de D-ID muestran diferentes niveles de éxito para ocultar la identidad en un vídeo. En una demonstración, el antiguo primer ministro británico David Cameron se parece un poco a David Cameron con bigote. En otra imagen fija, una mujer parece algo diferente, pero las dos imágenes todavía resultan desconcertantemente similares. En un tercer ejemplo, Brad Pitt sí que se vuelve irreconocible. 

D-ID no quiso nombrar a los clientes que usan su tecnología, pero Perry afirmó que la empresa trabaja principalmente con comercios al por menor, compañías de coches y "grandes conglomerados que implementan la televigilancia en Europa". La miembro de la junta asesora de D-ID y antigua comisaria de Privacidad de Ontario (Canadá), Ann Cavoukian, asegura que la solución es "beneficiosa para todos". 

Sin embargo, otros expertos creen que la compañía está malinterpretando el Reglamento General de Protección de Datos de Europa (RGPD), no hace lo que se supone que debería hacer y, aunque lo hiciera, probablemente no debería hacerlo.

¿Una violación del RGPD?

Tres destacados expertos europeos en privacidad que hablaron con MIT Technology Review expresaron sus preocupaciones sobre la tecnología de D-ID y sus intenciones. Todos destacan que, en su opinión, D-ID está violando el RGPD. (Sin embargo, su servicio podría ser legal en áreas ajenas a la UE). 

La raza es una categoría especial bajo el RGPD, lo que significa que el procesamiento de datos que infiere la raza sin un consentimiento explícito es ilegal, explica el abogado de privacidad de datos del organismo de control de RGPD, NOYB, Gaëtan Goldberg. Las violaciones de las normas del RGPD pueden dar lugar a multas de 20 millones de euros o del 4 % de los ingresos anuales de una empresa, lo que sea mayor. 

Cuando se le preguntaron por estas cuestiones, el abogado de privacidad que asesora a D-ID, David Mirchin, mostró su desacuerdo con los expertos. Afirma que "la solución de anonimización inteligente de D-ID nunca analiza, revela ni almacena" este tipo de datos confidenciales. Perry añade que D-ID también puede anonimizar los datos de la etnia. Pero los abogados externos sostienen que el simple hecho de detectar rostros, ya sea para "anonimizarlos" o no, es una violación.

Perry y Mirchin también defienden que les parece correcto subir los datos biométricos anonimizados a los algoritmos. Pero aunque el RGPD no se aplica a los datos anónimos, el experto en privacidad de University College London (Reino Unido) Michael Veale asegura que, en realidad, la start-up no anonimiza el vídeo en ningún caso. El vídeo codificado no se consideraría anónimo bajo el RGPD. Con los datos realmente anónimos, una información no se puede volver vincularse con ningún individuo en particular, ni siquiera cuando se combina con otros datos.  Sería muy difícil lograrlo.

En el caso de las imágenes de D-ID, aunque sus imágenes alteradas no se parecen a nadie en concreto, se pueden combinar con otra información (datos de ubicación tomados de las redes sociales, por ejemplo, o registros de tarjetas de crédito) para identificarla. Además, según Veale, la tecnología aún no daría luz verde a las compañías para "reutilizar la televigilancia para propósitos comerciales bastante frívolos que no son algo con un serio interés público, como combatir el crimen por ejemplo". 

El espíritu de la ley

El hecho de que D-ID se presente como una solución de privacidad resulta revelador. Dado que algunos elementos de las nuevas leyes de protección de datos como RGPD y la Ley de Privacidad del Consumidor de California (EE. UU.) permanecen abiertos a la interpretación, varias empresas están encontrando formas ingeniosas para promocionarse. Estas tecnologías "cumplen" con las regulaciones de una manera que beneficia a las empresas que quieren ganar dinero con los datos, pero no a las personas cuyos datos se recogen. Los críticos sostienen que este enfoque es una violación del espíritu de la ley. El experto en las ciencias de la información de la Universidad de Rutgers (EE. UU.) Britt Paris cree que D-ID es un explotador y un ejemplo de "una mayor invasión de los datos de la vida cotidiana". 

Pero Cavoukian subraya que ella no es una "fundamentalista de la privacidad" y cree que no hay nada de malo en recopilar datos siempre que se oculten las identidades exactas de las personas. La responsable señala: "Los que no quieren que se recopile ninguna información sobre ellos, actualmente y estos tiempos, a pesar de que no existe ningún problema de privacidad porque sus identificadores han sido deshabilitados, no podrán salir muy lejos de su casa. Esa es la realidad de hoy en día".

La vigilancia está cada vez más generalizada. Un reciente estudio de Pew encontró que la mayoría de los estadounidenses piensa que están siendo rastreados constantemente, pero que no pueden hacer mucho al respecto. Y se espera que el mercado de reconocimiento facial pase de los más de 4.000 millones de euros de 2018 a más de 8.000 millones de euros en 2024. Aun así, la realidad de la vigilancia no impide que los activistas se defiendan. D-ID puede verse a sí misma como un punto medio entre el purismo de la privacidad y el almacenamiento de datos bruto, pero sin la tecnología, tal vez las compañías cubiertas por el RGPD no podrían usar estos datos de vídeo en absoluto. 

"Estas reglas están ahí para lograr un propósito, ¿verdad? [D-ID] afirma que 'recopila los datos visuales mientras cumple con las normas de privacidad' y lo que realmente significa eso es que 'recopila datos visuales mientras evita las normas de privacidad'. Y es que la ley no es estúpida del todo", afirma la experta en RGPD de la Facultad de Derecho de Newcastle (Reino Unido) Lilian Edwards.