La IA entra en los centros de salud de Ceuta y Melilla con un reconocimiento facial que genera dudas a médicos y ONG

Decir tu nombre y apellidos, enseñar tu tarjeta sanitaria -si tienes- o cualquier otro documento de identidad y contar qué te ocurre suele ser suficiente para conseguir atención médica en los centros de atención primaria y hospitales del país. Para los habitantes de Ceuta y Melilla, a estos pasos se les unirá uno más: una fotografía que terminará siendo un patrón único de sus rasgos faciales. En 2021, el Instituto de Gestión Sanitaria (INGESA) -la parte del Ministerio de Sanidad que gestiona la asistencia sanitaria de las dos ciudades autónomas- adjudicó un contrato a una unión temporal de empresas (UTE) de Dedalus y Facephi por más de 700.000 euros. ¿El objetivo? Crear un sistema unificado de historia clínica y, de paso, instalar un sistema de inteligencia artificial con reconocimiento facial de los pacientes.

Según uno de los documentos oficiales a los que ha tenido acceso en exclusiva Civio, el sistema se encuentra en funcionamiento en los centros de salud desde noviembre de 2024, aunque ni el INGESA ni ninguna de las empresas de la UTE lo han confirmado. Según ha podido saber Civio, las cámaras están instaladas en, al menos, dos centros de salud de la ciudad de Melilla, mientras que en los hospitales tanto de Ceuta como de Melilla está todavía en fase de pruebas. El doctor Enrique Roviralta, presidente del Colegio y del Sindicato de Médicos de Ceuta, explica a Civio que nadie les ha informado de la instalación de este sistema y que se encuentran “completamente ajenos a su funcionamiento y de los plazos previstos para su entrada en vigor”.

El objetivo con el que el INGESA está implantando este sistema de fichaje es una incógnita envuelta en generalidades. La justificación del contrato público dice que se hace “con el objetivo de mejorar la calidad y seguridad asistencial a través de la mejora de la calidad de los datos y de la interoperabilidad de los sistemas de información”. Y, sobre el reconocimiento facial en concreto, explica que es “para mejorar y facilitar la identificación sin sacrificar la usabilidad del sistema”. Eso teniendo en cuenta que la tarjeta sanitaria de las personas de Ceuta y Melilla es una de las pocas en toda España que incorpora una foto de carnet, al estilo de la que incluye el DNI.

Solo las declaraciones públicas del INGESA y de su directora en 2022, Belén Hernando, ofrecen algunas explicaciones adicionales al porqué de este sistema: “Evitará duplicidades, suplantaciones, errores en los tratamientos y cualquier otro problema derivado de una identificación básica del paciente”.

Aunque, según recogía el medio local El Faro de Ceuta en 2021, el INGESA declaró en otra ocasión una finalidad diferente que poco tenía que ver con la seguridad del paciente y algo más con un problema del propio funcionamiento del Instituto. De acuerdo con el citado periódico, el sistema “servirá para poder reclamar a las personas que no tengan derecho a asistencia sanitaria con cargo a fondos públicos”. Según explica Pablo Iglesias, de Médicos del Mundo, “nosotros no tenemos constancia de ninguna situación de suplantación de identidad ni de nada por el estilo”. En la misma dirección, Roviralta señala: “No nos consta que haya incidencias para identificar a los pacientes. Actualmente se les identifica con su documentación”. Ni el INGESA ni ninguna de las empresas de la UTE han querido responder a Civio sobre la finalidad en concreto del sistema de IA.

En 2021, el Tribunal de Cuentas -organismo encargado de auditar las cuentas públicas- alertaba en un informe sobre el estado del INGESA en 2016 en relación con los servicios que prestaba y no cobraba. Estos, principalmente, se facilitaban a personas en situación irregular en Ceuta o Melilla que se encontraban en uno de los tres supuestos en los que la ley en 2018 permitía asistencia sanitaria: una urgencia, un embarazo o parto o atención a menores. Una vez atendidos, el sistema público debía facturarles el precio del servicio aunque, según las investigaciones del Tribunal de Cuentas, esto pocas veces ocurrió durante el año analizado.

En 2018 entró en vigor un nuevo decreto-ley que ampliaba la cobertura sanitaria básica a todas las personas independientemente de su situación administrativa. No obstante, un informe de la plataforma ‘Yo sí sanidad universal’ señala que en Melilla se siguen facturando las urgencias para aquellas personas que no cumplan los requisitos para obtener la tarjeta sanitaria. Iglesias, de Médicos del Mundo, advierte en esa misma dirección que “la facturación en urgencias ahora mismo es algo que se está dando de forma bastante generalizada en el territorio español”.

En los documentos del Instituto a los que Civio ha tenido acceso, de hecho, se incluye este colectivo dentro del número de personas potencialmente afectadas por este sistema de inteligencia artificial que cifra en aproximadamente 170.000. Entre ellos se encuentran los afiliados de la Seguridad Social, los mutualistas y “las asistencias a personas extranjeras no afiliadas, principalmente marroquíes”.

¿Cómo funciona el sistema?

Al listado de datos personales y de salud que incluye la historia clínica -dirección, DNI o enfermedades- se le añadirá un patrón biométrico de la cara del paciente. El personal de administración o auxiliar tomará una foto con un sistema de inteligencia artificial, que convertirá en segundos en un patrón de los rasgos únicos de cada persona y que almacenará junto al resto de datos personales. No se tratará de un sistema de videovigilancia ni estará dentro de las consultas, pero sí en los puestos de atención administrativa y de tarjeta sanitaria, y aquellos lugares que son punto de entrada a los servicios asistenciales. Según los pliegos del contrato, en Ceuta está planeado colocar 48 de estos dispositivos repartidos entre las áreas de Admisión, Urgencias, Hospital de día, Radiología y Farmacología en el hospital y los centros de atención primaria. En Melilla, el número de dispositivos llega hasta los 64.

Así, con una simple foto, los datos biométricos del paciente y sus datos sanitarios quedarán unidos y registrados en la base de datos del sistema sanitario. Esto se usará, por ejemplo, para identificar a un paciente concreto con una simple captura fotográfica o buscar si hay duplicidades entre dos pacientes. “Dado que los rasgos faciales tienden a ser inmutables, se convierten en una característica distintiva de identificación”, explica una investigación sobre IA en el sector de la salud. El contrato adjudicado por INGESA exige que el sistema de reconocimiento facial tenga la capacidad de guardar varias plantillas de la misma cara y en diferentes momentos (por ejemplo, ausencia o presencia de barba, tener o no tener mascarilla). Además, según el contrato, debe permitir la detección de características faciales, como edad, género o expresiones.

Aunque el INGESA defiende que no hay alternativas para mejorar la calidad y la seguridad asistencial, los sistemas de reconocimiento facial han sido ampliamente criticados por posible vulneración de la privacidad, los problemas relacionados con la seguridad o los sesgos discriminatorios que pueden conllevar. El presidente del Colegio de Médicos de Ceuta señala las posibles ventajas del uso del reconocimiento biométrico: “Quizás pueda aportar una mayor agilidad en la identificación de pacientes o que el paciente no tenga que portar documentación alguna”, pero señala: “Me preocupan bastante más los riesgos de filtración de datos y que se cumpla escrupulosamente con la Ley Orgánica de Protección de Datos”.

Los datos de salud y los datos biométricos de una persona se consideran, cada uno de ellos por separado, como datos que merecen especial protección. El informe Privacy and biometrics for smart healthcare systems: attacks, and techniques explica que “en sanidad, los sistemas de detección biométrica pueden utilizarse para mejorar la atención al paciente y agilizar los procesos médicos, pero también plantean importantes problemas de privacidad”. Y añade que si estos datos “son robados o utilizados indebidamente, puede ser difícil o imposible cambiarlos, lo que los convierte en un valioso objetivo para los hackers”. El jurista Guillermo Lazcoz, experto en protección de datos, remarca: “Al utilizar datos de protección con categoría especial necesitamos una justificación mayor a efectos de protección de datos. Necesitamos que ese tratamiento sea necesario, justificado y proporcional”.

El documento creado por el INGESA para evaluar el impacto que este sistema tendría en los datos personales de los pacientes y al que ha tenido acceso Civio dice que “la gravedad del riesgo para los derechos y libertades del tratamiento y su intromisión en la privacidad de los pacientes es la adecuada al objetivo perseguido y proporcionada a la urgencia y gravedad de esta”. El problema es que no se explica en ningún lado cuál es la urgencia y la gravedad de la situación a la que se refieren. La evaluación, que analiza de forma pormenorizada tanto la legislación vigente en la que se basa como los potenciales riesgos y las medidas para mitigarlos, legitima el uso del sistema de IA y concluye que no es necesario que sea revisado de forma independiente por la Agencia Española de Protección de Datos (AEPD).

El jurista Mikel Recuero, especialista en protección de datos, opina que dicho documento no alcanza los cánones establecidos para estudiar de forma debida el impacto que puede tener un sistema de fichaje como este: “En términos generales, el análisis es insuficiente e incoherente desde el punto de vista de la protección de datos, algo preocupante teniendo en cuenta la especial sensibilidad de los datos e informaciones involucradas y el contexto sanitario en el que se pretende desarrollar la iniciativa”.

Las dudas que suscita el documento son diversas, al igual que las cuestiones que deja en el aire. Uno de los aspectos a destacar es que el INGESA asegura que no existe ningún otro procedimiento o sistema alternativo que sea menos lesivo para la protección de datos personales y que cumpla la misma función. El análisis deja fuera la situación actual y la forma en la que se identifica a los pacientes antes de la entrada en funcionamiento de este sistema de IA.

Para aquellas personas sin tarjeta, cualquier otro documento identificativo puede funcionar, según Iglesias. Roviralta explica cómo funciona hasta ahora: “Se le identifica con su documentación, como puede ser la tarjeta sanitaria, el DNI, el pasaporte, etc… Creo que es suficiente y así se hace en el resto de administraciones”. Lazcoz señala las preguntas a las que debería contestar este análisis de alternativas hecho por el INGESA para que fuese apropiado: “¿Qué alternativas hay? ¿Por qué escojo esta alternativa en vez de otras? Y después entrar en si es justificado, necesario y proporcional”.

Tampoco hay rastro en el documento de dónde quedaría el consentimiento del paciente, aunque según Lazcoz, esto está intrínsecamente ligado a una cuestión que no se deja clara en el documento: “A mí una de las cosas que sí me llama la atención es el tema de la no mención de si es ese tipo de tratamiento responde o no a la toma de una decisión automatizada”. Y añade: “Si yo tengo un sistema automatizado que lo que está diciendo es esta persona es esta o no es esta y eso tiene un efecto de que se le provea asistencia sanitaria o no se le provee la asistencia sanitaria, a mí esto me parece un sistema automatizado y ahí ya la normativa es un poco más restrictiva”. Si ese fuera el caso, uno de los requisitos indispensables es el consentimiento expreso del paciente.

Los riesgos asociados con los sistemas de IA de reconocimiento facial en general han sido ampliamente documentados. “El aumento de la recopilación de datos corporales plantea riesgos significativos para las personas y la sociedad en su conjunto, como violaciones de la ciberseguridad, uso indebido de datos, violaciones del consentimiento, discriminación de poblaciones vulnerables, persecución biométrica y vigilancia generalizada”, explica Júlia Keserű en el informe “From Skin to Screen: Bodily Integrity in the Digital Age”.

Uno de estos riesgos, que en el contexto de Ceuta y Melilla puede llegar a tener gran relevancia, son los sesgos que pueden llevar aparejado estos sistemas. Según explica la AEPD en una de sus guías: “Algunas personas no pueden utilizar determinados tipos de biometría porque sus características físicas no son reconocidas por el sistema. En casos de lesiones, accidentes, problemas de salud (como parálisis) y otros, la incompatibilidad puede ser temporal. La incompatibilidad biométrica permanente puede ser una causa de exclusión social”.

También están documentados casos de sesgo racial, como explica Keserű en el informe: “La investigación también ha demostrado sistemáticamente que los sistemas biométricos contemporáneos presentan sesgos significativos y pueden dar lugar a discriminación a gran escala” y lo ejemplifica con una investigación científica de tres productos de reconocimiento facial que reveló que identificaban erróneamente a personas de piel más oscura en porcentajes de hasta el 34%, frente a menos del 1% en el caso de las personas de piel más clara.

Facephi, la empresa encargada de las cámaras del INGESA, señala en su blog que “los datos de los que se nutren nuestros algoritmos, relacionados con el reconocimiento biométrico, son diseñados para asegurar una distribución justa con variedad, cantidad y calidad suficiente a lo largo de los grupos. La raza, el sexo, la edad, la religión, así como otro tipo de características técnicas cómo el tipo de dispositivo de captura, o la posición del objeto, no afectarán entonces al resultado”. No obstante, no existen datos o información pública cuantitativa que respalde esta buena práctica.

¿Y qué ocurriría si, además, estos datos terminan en manos de personas que no son los responsables del tratamiento? La AEPD avisa sobre esto en una de sus guías: “El acceso no autorizado a nuestros datos biométricos en un sistema permitiría o facilitaría (en el caso de utilizar múltiples factores de autenticación) el acceso en el resto de los sistemas que utilicen dichos datos biométricos. Podría tener el mismo efecto que usar la misma contraseña en muchos sistemas distintos”, y agrega: “Y, a diferencia de los sistemas basados en contraseñas, una vez que la información biométrica ha sido comprometida, esta no se puede cancelar”. Según la Agencia Europea de Ciberseguridad (ENISA por sus siglas en inglés), entre 2021 y el primer cuatrimestre de 2023 se han dado 99 incidentes relacionados con filtraciones de datos en el sector sanitario en la Unión Europea. En 52 de esos se filtró información relacionada con datos de pacientes o historia clínica de los mismos.

“El Gobierno y el INGESA tendrán que dar explicaciones de qué es lo que se pretende o qué es lo que se persigue con la instalación de este tipo de cámaras, pero el uso potencial que se puede hacer de ellas es muy perverso”, comenta Iglesias. La postura de Keserü va en la misma dirección: “Tengo verdadero miedo de lo que pueda pasar y de cuánta de nuestra libertad se verá restringida si aceptamos que estos sistemas son normales y pueden convertirse en la corriente dominante”. Y añade: “Es una cuestión importante de derechos humanos”. Y el problema de fondo y el más preocupante es probablemente el que señala Iglesias: “Estas cámaras pueden tener un efecto disuasorio a la hora de que las personas acudan a solicitar la atención sanitaria que necesitan”.