Transparencia algorítmica: Videoidentificación para obtener el idCat Móvil

Visión general

El servicio de identificación remota mediante el procedimiento de videoidentificación, en lo sucesivo videoidentificación, es un servicio que permite la autenticación remota de una persona con garantías de seguridad y privacidad.

En el servicio de videoidentificación se aplican algoritmos de reconocimiento facial y de imágenes que aportan evidencias al proceso de autenticación y le dotan de una mayor robustez y fiabilidad equivalente a la presencia física.

Caso de uso

• Obtención del idCAT Móvil (sistema de firma electrónica)

El servicio de videoidentificación se utiliza para facilitar y reforzar el registro on-line del idCAT Móvil, para que sea un proceso más fácil, seguro y genere más confianza.

El sistema garantiza el cotejo de un documento oficial con fotografía (el documento identificador del país origen de la persona o bien su pasaporte) con un vídeo selfie que la persona se hace en el mismo proceso.

Una vez finalizado el proceso de videoidentificación, un operador lo supervisa y, de acuerdo con el resultado de los cotejos y validaciones que ha realizado el sistema y previa verificación de la autenticidad y vigencia del documento de identificación, si procede, aprueba y mujer de alta la persona en el registro del sistema de identificación y firma electrónica idCAT Móvil.

Gracias a este sistema cualquier persona del mundo (mayor de 16 años) puede obtener una identidad digital (eID) por tratar con cualquier administración catalana con sólo un teléfono móvil, un pasaporte o documento nacional de identidad y sin salir de casa.

Nivel de riesgo del sistema de IA (según los criterios del Reglamento europeo de IA (RIA))

Riesgo limitado. Este sistema de IA queda excluido del ámbito de aplicación del Anexo III del RIA, apartado 1.a), relativo a los sistemas de identificación biométrica remota, y no se considera de alto riesgo. Esto es así porque se limita a utilizar técnicas de verificación biométrica con el fin de confirmar que una persona es quien dice ser, en el marco de un servicio digital concreto, y no incorpora funcionalidades de identificación biométrica remota ni en tiempo real ni posterior, ni tiene ningún uso policial o de vigilancia masiva.

Estado

Implementado. El servicio de videoidentificación para conseguir el idCat Mòbil se puso en marcha en mayo de 2020, al principio de la pandemia. En ese momento, tener una eID era una cuestión esencial de derechos digitales, lo que sigue siendo válido hoy en día. Durante los últimos 3 años, se han entregado 110.000 identidades digitales, resolviendo muchos problemas a los que se enfrentaban los ciudadanos que no podían obtener una identidad digital a través de los procesos ordinarios.

Acuerdo de nivel de servicio 

• El servicio de videoidentificación para obtener idCat Móvil está disponible 24×7 con un nivel de disponibilidad del 99%.
• El alta efectiva en el registro del dCat Móvil se realiza en un plazo máximo de 48 horas, sin tener en cuenta los días festivos.
  En la práctica, las altas se están realizando en un plazo de 2 horas dentro del horario laboral.

Principales beneficios del servicio

• Comodidad: los usuarios pueden completar todo el proceso de videoidentificación desde su casa en pocos minutos, ahorrando tiempo y esfuerzo.
• Inclusión: se ha invertido mucho en experiencia de usuario para que el proceso sea notablemente sencillo para cualquier persona, independientemente de sus habilidades digitales.
• Mayor seguridad: el algoritmo de reconocimiento facial y de imagen proporcionado por VERIDAS ha demostrado tener un alto nivel de precisión. La tasa de rechazo es muy baja (5%). Sin embargo, todos los procesos de videoidentificación son supervisados ​​por trabajadores públicos a fin de eliminar riesgos como, p. ej., detectar casos de coacción, o evitar malentendidos en personas que no son conscientes del proceso automatizado.
• ahorro: mejora la eficiencia automatizando las tareas administrativas y reduciendo los errores, lo que supone un importante ahorro de costes: hasta un 80% por transacción frente a los métodos presenciales.

Información de contacto

Información más detallada sobre el servicio

Familiarícese con la información que utiliza el sistema, la lógica de funcionamiento de los algoritmos y su gobernanza.

Conjuntos de datos

Se utilizan dos fuentes principales de datos:

1) Datos identificativos de los usuarios.

Los datos personales que se traten siempre se obtienen de la persona interesada.

• Datos personales que se recogen a través del formulario inicial:
  • Nombre
  • Correo electrónico
  • teléfono móvil

• Datos del documento de identidad que la persona muestra a cámara (se extraen mediante mecanismos de reconocimiento de caracteres (OCR))
  • Nº. del documento de identificación
  • Nombre y apellidos
  • Sexo
  • Fecha nacimiento
  • Dirección postal
  • País de expedición del documento por el caso de extranjeros
  • Fecha caducidad del documento identificativo
  • Fotografía del documento de identidad
• Foto 'selfie' de la persona (se hace un pixelado para compararla con la fotografía del documento de identidad)
• Vídeo del proceso de videoidentificación de donde se extrae otra foto de la persona mientras realiza un gesto (prueba de vida)

2) Evidencias digitales que genera el proveedor de confianza (Doyfe)

Las evidencias se firman y llevan sello de tiempo para asegurar su integridad y autenticidad.

❗ Consideraciones sobre el tratamiento de los datos:

• En el tratamiento de la información intervienen:
  • Generalidad de Cataluña como Responsable de Tratamiento y AOC como Encargado de Tratamiento.
  • Deloitte Por razones de entrevista.
  • Amazon Web Services (AWS Europa) como proveedor de infraestructura.
• Los datos recogidos se almacenan durante la recogida y custodia en sistemas cifrados en reposo para garantizar su confidencialidad y para poder consultarlos en caso de auditoría.
• La obtención del idCAT Mòbil implica un alto de los datos de contacto en la BDSEU (Generalitat de Catalunya) y que el Consorci AOC pueda tratarlos a efectos de validación de identidad y de emisión de firma. Los datos de la BDSEU y demás datos empleados en el proceso de alta NO se ceden a terceros. Es la misma persona interesada quien autoriza la cesión de sus datos a las administraciones públicas catalanas al hacer uso del idCat Mòbil.

❗ Consideraciones sobre la conservación de los datos:

• De acuerdo con la norma, las evidencias de cada proceso de videoidentificación se custodian durante 5 años en caso de que el proceso no finalice con éxito, y 15 años en caso de que se acabe generando un idCat Móvil (incluyendo el documento en forma de recibo).

Procesamiento de los datos

La lógica operativa del procesamiento automático de datos y el razonamiento realizado por el sistema se sustenta conforme al siguiente modelo y metodología:

1) Captura del documento de identificación oficial

Se utiliza un sistema de captura de documentos que reconoce y aplanta el tipo de documento de forma automática (sin necesidad de que la persona seleccione el tipo o versión)

A través de un proceso guiado, la persona muestra a cámara el anverso y el reverso de su documento de identidad. El sistema permite el escaneo de los documentos oficiales del estado español (DNI, TIE y pasaporte) con mecanismos de control de la veracidad del documento y minimización de los riesgos de suplantación o manipulación, incluyendo la extracción de la fotografía de la persona.

Si la persona es residente en el Estado español, se valida que los datos del documento coinciden con el registro oficial de la Dirección General de la Policía.

2) Captura de una foto 'selfie' de la persona activada por una prueba de vida (sonrisa) y con un detector de la calidad de la foto realizada.

(Alive Selfie: sistema que después de la detección de la sonrisa, lanza una captura de foto automática).

3) Correlación de la fotografía extraída del documento oficial de identidad y de la 'selfie'.

Para realizar la correlación entre fotografías se lleva a cabo una prueba de biometría facial que utiliza el algoritmo de reconocimiento facial de VERIDAS.

El reconocimiento facial es el tratamiento automático de imágenes digitales que contienen las caras de personas con fines de identificación, autenticación y verificación o categorización (por edad, sexo, etc.) de estas personas. En el caso de la videoidentificación para obtener el idCat Móvil se trata de un procedimiento de autenticación, no de identificación, ya que se usa para comprobar la identidad de la persona y determinar que esa persona es realmente quien dice que es, no para reconocer su identidad.

4) En paralelo, toda la operación se graba en vídeo como evidencia para facilitar las labores de supervisión, validación y control. Del vídeo se extrae otra fotografía que también se correlaciona con la fotografía del documento oficial que la persona muestra.

5) Por último, uno operador humano supervisa todo el proceso de videoidentificación y de acuerdo con el resultado de los cotejos y validaciones que ha hecho el sistema, y ​​previa verificación de la autenticidad y vigencia del documento de identidad, si procede, aprueba y realiza el alta de la persona en el registro del idCat Mobil.

Arquitectura de servicio

Servicio en modalidad de software ofrecido como SaaS, alojado en Amazon Web Services (AWS), en la Comunidad Europea, e integrado vía APIs.

La aplicación de front-office es web responsiva y está disponible en los principales sistemas operativos.

Rendimiento del algoritmo

El algoritmo de reconocimiento facial y de imagen es de VERIDAS y lo presta el proveedor DELOITTE.

Este algoritmo da un scoring del grado de similitud entre las dos fotografías comparadas y ha demostrado tener un alto nivel de precisión:

• La tasa de rechazo (failure to enrol rate) es muy baja, de 5%, debido principalmente a problemas técnicos de grabación e iluminación de las cámaras.
• La tasa de falsos negativos (Tasa de no coincidencia falsa) es del 2,91% para un valor de falsos positivos (false match rate) del 0,01%. Con estos resultados, la solución cumple con los requisitos de FIDO para la verificación biométrica facial. Específicamente, FIDO establece que la tasa de falsos negativos debe ser inferior al 3% para una tasa de falsos positivos del 0,01%.

 [Datos extraídos del informe “Prueba de proveedores de reconocimiento facial (FRTE)” del National Institute of Standards and Technology (NIST). Último informe FRTE (PDF)]

Si desea obtener más información sobre el algoritmo de biometría utilizado, consulte la web de VERIDAS.

Supervisión humana

Cada proceso de verificación de identidad realizado a través del servicio de videoidentificación está supervisado por un agente humano.

La validación del proceso se lleva a cabo por empleados públicos adecuadamente formados en prácticas de certificación digital.

La solución dispone de una aplicación de gestión para los operadores (back office) que facilita la supervisión o validación de las altas de idCAT Móvil realizadas con el servicio de videoidentificación.

Las acciones que realizan los operadores son:

• Visualizar el vídeo y comprobar que la persona interesada ha hecho todo el proceso sin coacción, que ha hecho el proceso según los requisitos establecidos (no lleva la cabeza cubierta, no lleva gafas de sol, se le ve la cara, …) y también revisar que se vean las marcas de agua y hologramas de autenticidad del documento mostrado.
• Revisar el resultado de los parámetros de evaluación de la documentación que el sistema ha evaluado de forma automática: porcentaje de coincidencias entre la foto del documento identificador y la foto selfie, fecha de caducidad del documento identificador, fecha de nacimiento, número del documento y que sea ​​legible y contenga las marcas de agua.

Cumplimiento normativo del sistema

El servicio de videoidentificación para obtener el idCATMóvil cumple los requisitos de la normativa española para la emisión de certificados calificados y dispone de las certificaciones necesarias para su cumplimiento. Sin embargo, hay que decir que no existe normativa específica aplicable al idCat Móvil y que la normativa mencionada la AOC la aplica de manera voluntaria.

Los sistemas de información asociados a este servicio y la localización de los datos cumplen con la normativa vigente, especialmente en lo que se refiere a la protección de datos personales en relación con el marco legal europeo y estatal. En concreto:

• El sistema cumple con la normativa vigente en materia de servicios electrónicos de confianza (Ley 6/2020, de 11 de noviembre) y métodos de identificación remota por vídeo para la expedición de certificados electrónicos calificados (Orden ETD/465/2021, de 6 de mayo), y está certificado para el cumplimiento de Sepblac.
• Se aplican los principios del Reglamento General de Protección de Datos (RGPD):
• Principio de minimización de datos: sólo se recogen los datos necesarios para cumplir la finalidad del sistema (hacer el alta en el registro del idCat Móvil)
• Principio de limitación de finalidad del RGPD: los datos recogidos sólo se utilizan para la finalidad comunicada a la persona interesada.
• Desde el punto de vista técnico, la solución cumple con los requisitos establecidos por el Esquema Nacional de Seguridad para sistemas de nivel medio.

Se trata de una ¿Actuación Administrativa Automatizada (AAA)? No. En este caso no está sujeto a la obligación legal de publicar la AAA vinculada al servicio en la sede-e de la AOC, acompañada de una ficha técnica (Ver artículo 11, letra y, del Real decreto 203/2021, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos; que desarrolla la Ley 40/2015 de Régimen jurídico del Sector Público). La AOC publica la ficha técnica del servicio en el Portal de Transparencia de forma voluntaria, como buena práctica.

Gestión de riesgos

A. Igualdad y no discriminación

Riesgos identificados: Exclusión, sesgos, discriminación, estigmatización

Medidas aplicadas 

Para garantizar la inclusión digital del servicio, se ha invertido mucho en experiencia de usuario para que el proceso de videoidentificación sea notablemente sencillo para cualquier persona, independientemente de sus habilidades digitales.

• El servicio de videoidentificación es un proceso guiado
• Tiene una elevada usabilidad durante todo el proceso y puede realizarse desde cualquier teléfono móvil inteligente mediante una web responsiva.
• La web responsiva es accesible desde los principales navegadores (Chrome, Safari, IExplorer, Firefox)

Para garantizar el derecho a la no discriminación:

• Los datos con los que se ha entrenado el algoritmo de VERIDAS son inclusivos y representan a los diferentes grupos de población.
• Para garantizar la imparcialidad de los algoritmos aplicados se realizan pruebas de calidad periódicas que permiten detectar imprecisiones, evitar sesgos y discriminación por razón de género y grupo étnico.
  • Prueba de proveedores de reconocimiento facial del National Institute of Standards and Technology (NIST) (PDF último informe)

Para garantizar la igualdad en el uso del servicio, éste se encuentra disponible en catalán, castellano e inglés. La persona puede elegir el idioma pulsando sobre las opciones CAT – ES – EN del menú de la parte superior derecha de la ventana.

B. Protección de datos, privacidad y libertad de elección

Riesgos identificados: Mal uso de los datos personales por terceros*, amenaza con la privacidad y pérdida de libertad de elección.

*En este caso, riesgo alto por tratarse de datos biométricos (foto de la persona, voz y vídeo del proceso) que son de categoría especial de acuerdo a la terminología del RGPD.

Medidas aplicadas 

Para identificar y determinar las medidas necesarias para controlar los riesgos de la operación de tratamiento de Videoidentificación asociada al registro del idCAT Móvil, la Generalidad de Cataluña (Responsable de Tratamiento) realizó, el 17/12/2020, una evaluación de impacto sobre la protección de datos (AIPD) del Sistema.

Para la realización de la AIPD se aplicó la metodología de la Agencia de Ciberseguridad de Cataluña y, adicionalmente, se utilizó la herramienta PILAR, que aplica la metodología Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información)

Principales conclusiones de la AIPD:

• Riesgo resultante = ALTO
• Se considera que la actividad de tratamiento puede llevarse a cabo, al haberse analizado los criterios de idoneidad del tratamiento y al haber superado el análisis de necesidad y proporcionalidad. En concreto: El tratamiento de datos es necesario para cumplir una misión hecha en interés público o de la persona interesada como puede ser beneficiarse de otros servicios que otorga el responsable del tratamiento, el otorgamiento de ayudas, etc.
• Es necesario el consentimiento explícito de la persona interesada para el tratamiento de los datos.
• El consentimiento se obtiene de forma libre y en ningún caso la videoidentificación supone un desequilibrio de poder entre la persona interesada y las administraciones públicas dado que no es un procedimiento exclusivo sino opcional a acudir a una oficina de atención ciudadana a realizar el alta en el registro.

Entonces, para garantizar el derecho de protección de datos y privacidad:

• El proveedor ha firmado un Encargo de Tratamiento.
• La localización de los datos está en la Unión Europea.
• El Responsable de Tratamiento (Generalitat de Catalunya) garantiza los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de los datos que se tratan.
• Se realiza la gestión del consentimiento y las cookies de acuerdo a la AIPD.

Para garantizar el derecho de libertad de elección:

• La persona interesada tiene formas alternativas de obtener una identidad digital (eID) sin tener que compartir sus datos biométricos. Siempre puede ir a una oficina de atención ciudadana para realizar la modalidad de alta presencial. Por tanto, el proceso de videoidentificación es una opción de alta más, pero no una obligación.

C. Seguridad y robustez

Riesgos identificados: indisponibilidad del servicio, acceso no autorizado, filtración de datos, errores e incoherencias en el registro del idCat Móvil, suplantación de identidad.

Medidas aplicadas

Para identificar los riesgos asociados a la disponibilidad y seguridad del sistema y para categorizar el servicio según la criticidad de los datos que pondremos, la AOC realizó, el 7/7/2020, una análisis de seguridad del servicio de videoidentificación siguiendo las guías de la Agencia Catalana de Ciberseguridad y del Esquema Nacional de Seguridad (ENS).

La clasificación del sistema según la metodología del ENS, que establece 3 niveles de categorización (Alt, Mig y Baix), ha resultado ser:

De acuerdo con esta categorización, se han considerado los principales riesgos y se han implantado una serie de medidas para mitigarlos.

Las medidas aplicadas para mitigar los riesgos son:

• Para evitar la indisponibilidad del sistema:
  • Dentro del contrato con el proveedor se han establecido unos Acuerdos de Nivel de Servicio (ANS) que deben cumplirse y revisarse periódicamente.
  • Los informes de cumplimiento de los ANS tienen periodicidad semanal y recogen los aspectos referentes a la capacidad, disponibilidad y gestión de incidentes del sistema.
• Para evitar la suplantación de identidad:
  • • Generación OTP SMS para verificar el número de teléfono móvil informado y validar que la persona está en posesión del teléfono móvil: Se genera un OTP (contraseña de un solo uso o clave de un solo uso) y se envía por SMS al número de teléfono suministrado por el usuario previamente. El usuario le introduce y el sistema valida que el número coincide.
    • No está permitido subir un vídeo pregrabado o que se guarde en local que sea susceptible de manipulación.
    • Se hace una prueba de vida de la persona que realiza el proceso, pidiendo un gesto o movimiento (sonrisa)
    • Además, todas las transacciones son supervisadas por empleados públicos.

• Para evitar la falsificación del documento de identidad oficial:
  • Validación de la autenticidad del documento aportado: el servicio dispone de controles de veracidad del documento empleado (MZ, marcas de agua, holograma, etc.) y de mecanismos de control de no manipulación.
  • Si la persona es residente en el Estado español se valida que los datos del documento coinciden con el registro oficial de la Dirección General de la Policía.
• Para evitar errores en la correlación de la fotografía extraída del documento de identidad oficial y la 'selfie':
  • En caso de una “selfie” de calidad baja o foto desenfocada, se propone tomar una nueva foto.
  • El algoritmo facial da un 'scoring' del grado de similitud entre las dos fotografías (aunque un operador realizará la validación final).
• Para evitar el alta de múltiples idCat Móvil asociados a la misma persona:
  • Verificación de usuario "ya existente" con la base de datos de personas de la Sede electrónica de la Generalidad de Cataluña.

D. Transparencia y explicabilidad

Riesgos identificados: opacidad, desconfianza

Medidas aplicadas

• Publicación de la ficha de transparencia algorítmica en el Portal de Transparencia de la AOC. La ficha contiene información clara sobre:
  • Datos utilizados para entrenar el algoritmo
  • Tipo de algoritmo utilizado
  • Problemática a la que se busca dar solución
  • Cómo se ha implementado
  • A quién va dirigido
  • Identidad y datos de contacto del proveedor del algoritmo
  • Organismo responsable del servicio y dirección-e de contacto para quejas, consultas y sugerencias.
• Difusión del servicio a través de la web, redes sociales (post, tuits, etc.), jornadas y otros. Por ejemplo: Ficha de innovación "Identificación remota de los ciudadanos mediante videoidentificación"

E. Rendición de cuentas y auditabilidad

Más información

• PREGUNTAS MÁS FRECUENTES: Cómo puedo darme de alta en el idCAT Móvil con 'selfie/videoidentificació?
• AOC-2020-96 Licitación del servicio de videoidentificación

Recomendaciones y guías

• Recomendaciones sobre la gobernanza de la identidad digital delOCDE – OCDE
• NIST: digital identity guidelines [pdf]
• NIST Ongoing Face Recognition Vendor Test (FRVT) Parte 2: Identification [pdf]
• Servicios de identificación digital notificados a la Comisión Europea
• Guidance para la aplicación de los niveles de valoración para apoyar la eIDAS Regulation [Doc]
• Study on eID y digital on-boarding. Mapping and analysis of existing on-boarding bank practices across the EU

regulación

• Regulación en el sector bancario español por Sepblac.
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
• Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos calificados.
• eIDAS: REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 2 de julio de 2014 relativo a la identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior.
• REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN [pdf] de 8 de septiembre de 2015 sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica conforme a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior.