Un nou policy brief publicat de Hubul UE pentru inovare în securitate internă avertizează că Uniunea Europeană nu dispune în prezent de o capacitate independentă comparabilă cu cea a Statelor Unite pentru evaluarea tehnologiilor biometrice. Documentul, coordonat de eu-LISA împreună cu Comisia Europeană, Europol și Frontex, susține că practicile actuale de evaluare sunt fragmentate, inconsistente și în mare măsură dependente de actori externi, în special de Institutul Național pentru Standarde și Tehnologie din SUA, NIST.

Pe scurt

1. Documentul spune că UE are nevoie de o capacitate proprie, independentă și standardizată de evaluare a tehnologiilor biometrice.

2. În prezent, evaluarea biometriei în UE este descrisă ca fragmentată și dependentă în principal de rezultate produse în afara Uniunii, în special de NIST din SUA.

3. Documentul avertizează că lipsa unei astfel de capacități afectează suveranitatea tehnologică a UE, transparența, controlul biasului și influența europeană în standardizarea globală.

4. Soluțiile propuse sunt un depozit comun de date biometrice la nivel european și o platformă centralizată de evaluare și testare, administrate de o autoritate publică de încredere și aliniate cu normele UE de protecție a datelor.

Documentul pornește de la ideea că tehnologiile biometrice au devenit infrastructură de bază pentru numeroase activități publice și private. În spațiul european, ele sunt folosite în controlul frontierelor, în gestionarea migrației, în activitatea forțelor de ordine și în sisteme de identitate digitală. Policy brief-ul subliniază că astfel de sisteme pot avea consecințe directe și serioase pentru indivizi, de la refuzul accesului la servicii până la decizii privind intrarea într-o țară sau intervenții ale autorităților de aplicare a legii. Din acest motiv, autorii spun că este esențial ca organizațiile care folosesc asemenea sisteme să se asigure că ele sunt exacte, robuste, fiabile și implementate cu respectarea drepturilor fundamentale.

Documentul face o distincție clară între evaluare biometrică și certificare biometrică. Evaluarea este descrisă ca o analiză tehnică și științifică a performanței unui sistem, menită să măsoare acuratețea, ratele de eroare, biasul și robustețea și să sprijine decizii de cercetare, achiziție sau reglementare. Certificarea este, în schimb, o evaluare formală de conformitate, realizată de un organism acreditat, pentru a demonstra că un sistem respectă standarde sau cerințe de reglementare. Policy brief-ul se concentrează exclusiv pe prima dimensiune, evaluarea independentă, pe care o tratează ca element-cheie pentru controlul real al performanței tehnologiei.

Una dintre ideile centrale ale documentului este că UE reglementează strict folosirea datelor și a sistemelor biometrice, dar nu deține încă o infrastructură proprie suficientă pentru a le testa independent la scară mare. Autorii arată că, în practică, public authorities din Uniune se bazează în mare parte pe evaluările realizate de NIST, instituție descrisă drept reperul global în materie de testare biometrică, după trei decenii de dezvoltare a unor evaluări ample pentru recunoaștere facială, amprente, iris și voce. În oglindă, la nivelul Uniunii există doar inițiative limitate, adesea punctuale, legate de proiecte europene sau de instituții academice, iar unele capacități naționale existente nu sunt nici comparabile ca scară, nici suficient de publice pentru a servi drept standard european comun.

Policy brief-ul spune că această dependență externă creează mai multe riscuri. În lipsa unor benchmark-uri neutre și de încredere, autoritățile europene riscă să se bazeze pe declarațiile vendorilor sau pe evaluări private, adesea netransparente și necomparabile. Lipsa unei capacități comune la nivelul UE poate duce la fragmentare între statele membre, fiecare cu propriile seturi de date, protocoale și metrici. Documentul avertizează și că Uniunea riscă să aibă o poziție mai slabă în standardizarea internațională, să aibă vizibilitate limitată asupra biasului demografic și a vulnerabilităților sistemelor și să încetinească sau să facă mai riscantă implementarea unor noi soluții biometrice în domenii sensibile. În formularea autorilor, fără un plan clar pentru evaluare independentă la nivelul UE, Europa riscă să fie un „rule-taker” și nu un „rule-maker” în biometrie.

Documentul leagă explicit această problemă de suveranitatea tehnologică europeană. El arată că tehnologiile biometrice stau la baza unor sisteme informatice mari din domeniul justiției și afacerilor interne, folosite de autorități europene și naționale. În aceste condiții, reducerea dependenței de evaluări efectuate în afara UE este prezentată nu ca o alegere pur tehnică, ci ca o investiție strategică în autonomie, încredere și control asupra infrastructurii digitale europene. Autorii notează și că, pe termen lung, supra-dependența de evaluări realizate în SUA ar putea afecta competitivitatea industriei biometrice europene, mai ales dacă accesul acesteia la respectivele evaluări devine limitat sau discontinuu.

Un capitol important este cel juridic. Policy brief-ul arată că datele necesare pentru evaluarea tehnologiilor biometrice sunt supuse unor reguli stricte, în special prin EUDPR, GDPR, Directiva privind aplicarea legii și AI Act. Autorii spun că tocmai aceste exigențe, inclusiv cele privind calitatea datelor, reprezentativitatea și diminuarea biasului, întăresc nevoia unor evaluări riguroase și independente. În special pentru sistemele biometrice bazate pe inteligență artificială, AI Act va cere ca dezvoltatorii să demonstreze că sistemele lor au fost antrenate și testate pe seturi de date relevante, reprezentative și fără erori. Documentul sugerează că, fără acces la date reale și specifice contextelor europene, dezvoltatorii și autoritățile pot întâmpina dificultăți în îndeplinirea acestor cerințe.

În acest context, autorii propun două instrumente complementare. Primul este crearea unui depozit comun de date biometrice la nivelul UE, care să conțină seturi de date conforme cu normele europene, reprezentative pentru demografia și scenariile relevante pentru autoritățile europene și stocate într-un mediu securizat. Al doilea este o platformă centralizată de evaluare și testare, conectată la acel depozit de date, care să permită evaluări standardizate, independente și continue ale tehnologiilor biometrice, inclusiv benchmarking între furnizori. Documentul spune că ambele ar trebui administrate de o autoritate publică de încredere, într-un centru de date securizat, tocmai din cauza naturii sensibile a informațiilor.

Policy brief-ul examinează și sursele posibile pentru datele necesare. Printre opțiunile luate în calcul se numără folosirea datelor operaționale deja stocate în sistemele mari ale UE gestionate de eu-LISA, colaborarea cu statele membre pentru seturi partajate de date sau colectarea de date în scop de evaluare, de exemplu cu acordul resortisanților țărilor terțe care intră în spațiul Schengen. Autorii notează însă că toate aceste opțiuni ridică dificultăți juridice și operaționale. Ei consideră totuși că cea mai fezabilă soluție ar fi utilizarea datelor deja disponibile în sistemele JAI ale UE, cu condiția clarificării și, dacă este necesar, extinderii bazei juridice pentru folosirea lor în scopuri de evaluare.

Documentul amintește și un precedent relevant, evaluarea punctuală a serviciului comun de potrivire biometrică înaintea punerii în funcțiune a Entry/Exit System, realizată de eu-LISA împreună cu Joint Research Centre al Comisiei, folosind date operaționale reale extrase din VIS, cu aprobarea Supervisorului European pentru Protecția Datelor. Autorii sugerează astfel că un model european de evaluare independentă este posibil din punct de vedere tehnic și instituțional, chiar dacă în prezent nu există încă o capacitate stabilă și sistematică la nivelul Uniunii.

Background-ul instituțional al documentului este de asemenea relevant. Policy brief-ul a fost elaborat de clusterul de biometrie al Hubului UE pentru inovare în securitate internă și coordonat de eu-LISA, în cooperare cu DG HOME, Joint Research Centre, Europol și Frontex. Această listă de autori și parteneri arată că dezbaterea despre evaluarea biometriei este legată nu doar de tehnologie sau protecția datelor, ci și de administrarea frontierelor, securitate internă, aplicarea legii și funcționarea sistemelor informatice mari ale Uniunii.