INVESTIGATE EUROPE

Nico Schmidt (Investigate Europe), Mayank Aggarwal (The Reporters' Collective) e Ignacio Carrascón (infoLibre)

Este reportaje se ha realizado en colaboración con la AI Accountability Network del Pulitzer Center.

En la estación de Howrah, en Calcuta, los trenes nunca acaban de detenerse. Las cámaras, tampoco. Es una de las terminales ferroviarias más transitadas de India: cerca de un millón de personas la atraviesan cada día, en una marea tan compacta que seguir un solo rostro resulta prácticamente imposible. Al menos, para un ojo humano.

A varios metros de altura, sin embargo, sobre los tornos de entrada y salida, los andenes, la zona de restauración y las salas de espera, un centenar de cámaras de reconocimiento facial en directo toman nota en silencio. El sistema, instalado durante el último año, extrae las caras del vídeo en tiempo real y las coteja con una base de datos de fotografías: delincuentes buscados, sospechosos, personas desaparecidas. Cuando hay coincidencia, la policía ferroviaria recibe un aviso con el punto exacto en el que se ha visto a esa persona, y queda autorizada a abordarla.

Buena parte de los viajeros ni siquiera parecen conscientes de estar siendo vigilados así. Barnali Biswas, empleada del sector privado, pasa por allí seis días a la semana y no le da mayor importancia cuando se lo pregunta un reportero. Le parece, dice, que probablemente sea bueno para la seguridad. "Quien no tiene nada que ver con el crimen no tiene nada que temer", zanja.

Ese tipo de cámara, dotada de software de reconocimiento facial, es cada vez más habitual en India. Y en el este del país, uno de los proveedores de ese software es la firma española Herta Security. Según los socios locales de la compañía y documentación corporativa, Herta suministra su tecnología a centenares de estaciones de tren de la región, al mayor complejo penitenciario de Delhi, a un centro de peregrinación en Ayodhya y a las salas de control municipales de Ahmedabad.

La empresa confirma que su tecnología se utiliza en India, pero en una respuesta escrita afirma que no va a "revelar información confidencial de sus clientes". Su software podría estar operando también en la propia estación de Howrah, aunque los responsables ferroviarios locales no lo confirmaron al ser preguntados.

Una fuente de uno de los socios indios de Herta calcula, en conversación con Investigate Europe, que más de 4.000 cámaras repartidas por la mayor democracia del mundo funcionan ya con tecnología de la empresa española.

Al menos una parte de ese despliegue está ligada al Fondo Nirbhaya, una bolsa de dinero público creada para combatir la violencia sexual tras la brutal violación grupal cometida en un autobús de Delhi en 2012. Organizaciones de defensa de los derechos de las mujeres sostienen que los millones de euros dedicados a ese fondo han acabado financiando vigilancia masiva en lugar de protección y apoyo directo a las víctimas.

Cuatro juristas especializados en derecho europeo de la inteligencia artificial y la biometría coinciden en que dos de esos despliegues serían ilegales si se ejecutaran dentro de la Unión Europea: el sistema de la Región Este de los ferrocarriles indios y el programa de videovigilancia que cubre toda la ciudad de Ahmedabad.

Herta asegura que se toma en serio ese tipo de preocupaciones y sostiene que sus productos están "desarrollados conforme a los principios europeos de protección de datos, con independencia del mercado en el que se desplieguen". Eso sí, matiza que no puede "controlar cómo las autoridades públicas o los integradores de sistemas implementan la tecnología en entornos concretos".

Para el eurodiputado italiano Brando Benifei, en cambio, los hallazgos abren un problema incómodo para los legisladores europeos. "Que tecnologías de vigilancia prohibidas en Europa se exporten y se desplieguen en otros lugares, como las estaciones de tren de India, evidencia un peligroso doble rasero", afirma.

Porque mientras la UE ha restringido con dureza esa misma vigilancia sobre sus propios ciudadanos, Investigate Europe ha constatado que también financió a la empresa española para desarrollar su tecnología. Desde 2020, Herta ha recibido más de 3,3 millones de euros en fondos europeos de investigación para proyectos que incluyen "análisis del comportamiento de multitudes" y reconocimiento facial.

Vigilancia ‘made in Spain’

Herta Security nació en Barcelona en 2009 de la mano de Javier Rodríguez Saeta, exempleado de Bosch y especialista en biometría —la identificación automatizada a partir de rasgos físicos o de comportamiento.— "Ya en 2005", recordaría el propio Rodríguez años después en una entrevista de 2019, "pensaba que en el futuro haría falta identificar a personas que no quieren ser identificadas".

Su producto estrella, BioSurveillance NEXT, está concebido para lo que sus propios materiales comerciales describen como "despliegues a escala de multitud". Rodríguez ha hablado de usarlo en "manifestaciones, carreras deportivas, congregaciones religiosas y aeropuertos". La ficha técnica promete búsquedas en tiempo real contra bases de datos de hasta 100 millones de personas.

La tecnología se apoya en unidades de procesamiento gráfico, los mismos chips que mueven hoy casi toda la inteligencia artificial y que aceleran el reconocimiento facial hasta permitir que se ejecute en tiempo real. En 2015, el fabricante de chips Nvidia distinguió a Herta como una de las empresas emergentes destacadas del sector. En 2019, la compañía presumía ya de más de 200 clientes en 50 países.

El mercado en el que se mueve ha crecido a toda velocidad. Esta tecnología se utiliza hoy en estadios deportivos de Estados Unidos, la emplean cuerpos policiales del Reino Unido y ha sido ensayada por policías de varios países de la UE.

En Europa, sin embargo, su uso está severamente restringido. Desde 2025, el Reglamento europeo de Inteligencia Artificial prohíbe con carácter general los sistemas de identificación biométrica remota en tiempo real, y muy en particular el reconocimiento facial, en espacios públicos y con fines policiales. Quienes redactaron la norma lo situaron entre los pocos usos de la IA que consideraron directamente inaceptables.

La prohibición admite tres excepciones tasadas: la búsqueda selectiva de víctimas de trata, explotación sexual o secuestro y de personas desaparecidas; la prevención de una amenaza terrorista concreta e inminente; y la identificación de sospechosos de una lista cerrada de delitos graves, entre ellos terrorismo, asesinato y violación. Incluso en esos supuestos, cada uso concreto debe contar con autorización judicial previa y quedar registrado en una base de datos europea.

Herta acumula experiencia trabajando para clientes fuera de las fronteras comunitarias. En una presentación comercial de 2021 a la que ha tenido acceso Investigate Europe, la empresa enumera varios de sus proyectos.

Ahí aparecen programas de videovigilancia urbana —los llamados "proyectos de ciudad segura (safe cities)"— en Jamaica, Tailandia y Bombay. Y también cuerpos policiales en Colombia e Indonesia, estadios de fútbol en Bielorrusia y Rusia, y aeropuertos en México, Nicaragua y Nigeria. No está claro si esas colaboraciones siguen vigentes.

El software de Herta también se ha usado en Europa. La Policía Federal alemana lo probó en 2017 y 2018 en una estación de tren de Berlín.

En 2019, a Rodríguez le preguntaron por el riesgo de que sus productos se utilizaran de forma indebida. "En Europa estamos muy bien protegidos, tenemos una legislación muy clara que fija los usos de esta tecnología. No hay nada que temer", respondió. Por entonces no existía aún la prohibición comunitaria del reconocimiento facial en tiempo real en espacios públicos: el veto del Reglamento de IA no entró en vigor hasta febrero de 2025. Nada dijo de las garantías para los ciudadanos de sus otros mercados, como India, donde no hay una legislación igual de estricta.

La cartera india: trenes, cárceles y templos

La expansión de Herta en India se ha cocinado a lo largo de una década. Hacia 2014, la compañía suministró cuatro o cinco cámaras para el proyecto Mumbai Safe City, según un socio comercial local.

Un antiguo investigador sénior de la empresa, que pide mantener el anonimato, sostiene que los datos obtenidos en aquellos primeros despliegues indios fueron decisivos para corregir el mal rendimiento del algoritmo con rostros no blancos.

Herta responde a Investigate Europe que "no utiliza por defecto datos operativos de clientes procedentes de despliegues para entrenar o mejorar sus algoritmos", y que cualquier uso de datos personales o biométricos con fines de entrenamiento algorítmico "requeriría una base legal clara".

El salto real llegó ocho años más tarde. En 2022, una empresa con sede en Delhi se adjudicó un contrato de 11,5 millones de euros para un sistema de videovigilancia que cubre centenares de estaciones de tren del este de India. La capa de reconocimiento facial de ese sistema funciona con software de Herta.

Eastern Railway anunció el año pasado que ya había 540 sistemas de reconocimiento facial operativos en 143 estaciones. El plan completo abarca 392, algunas de las mayores de la región. Los socios locales de Herta calculan que en el futuro los sistemas podrían llegar a integrarse en más de 1.500 cámaras.

Las autoridades cotejan de forma rutinaria los rostros captados contra una lista de personas de interés. No está claro con qué criterios se incluye a alguien en ese registro, pero uno de los socios comerciales de Herta en el país cifra en torno a un millón las personas que figuran en él.

La escala del sistema, añade esa misma fuente, no tiene parangón en Europa: "En la estación más concurrida, con una sola cámara pasas 10.000 personas en cinco minutos". Si el sistema devuelve una coincidencia, asegura, se envía un aviso a un cuerpo policial armado autorizado a dar el alto.

En 2022, la Policía de Delhi reconoció que daba por válida como identificación positiva cualquier coincidencia facial con un 80% de similitud. Con millones de viajeros en circulación, incluso un margen de error pequeño deja de serlo. Y hay un detalle no menor: ni los datos de la lista de vigilancia ni los criterios de inclusión son públicos, y no existe vía alguna para impugnar una falsa coincidencia.

La presencia de Herta en la red ferroviaria india no se limita a la Región Este. A través de un programa de Railway Land Development Authority, el organismo que moderniza estaciones en todo el país, su software ha llegado a terminales tan alejadas como las de Jaipur y Secunderabad, según su socio local.

Ese mismo socio afirma que la tecnología de la empresa opera además los sistemas de reconocimiento facial de tres complejos penitenciarios de Delhi: Tihar, Mandoli y Rohini. El contrato público del despliegue asciende, según esa información, a 352 millones de rupias (3,2 millones de euros).

Pero el sistema no se circunscribe en exclusiva a infraestructuras públicas o estatales: también funciona en el templo Ram Mandir de Ayodhya, donde, según el socio local, la vigilancia alerta a la Policía cuando identifica a alguien incluido en una lista. Hay despliegues similares en marcha en otros dos templos, añade.

Herta opera igualmente en el marco de los programas de ciudad segura. En una presentación comercial obtenida por Investigate Europe, la compañía afirmaba haber instalado 140 cámaras de reconocimiento facial en Ahmedabad y enumeraba despliegues en otras ciudades.

Investigate Europe solicitó explicaciones a Eastern Railway, a la autoridad que ejecuta el proyecto Safe City de Ahmedabad y a los responsables de la gestión de las prisiones de Delhi. Ninguna de las consultas obtuvo respuesta.

Una violación y sus consecuencias

La expansión de Herta en India está ligada, todo apunta, a un giro político que arranca de un caso de violación tristemente célebre. En diciembre de 2012, una joven estudiante de fisioterapia subió a un autobús privado en Delhi con un amigo después de ver una película en el cine del barrio. Ninguno de los dos sabía que el vehículo estaba fuera de servicio: el conductor y otros cinco hombres se habían detenido a recogerlos fingiendo que llevaban pasajeros.

Durante más de una hora, esos seis hombres golpearon a su amigo, la violaron en grupo y arrojaron a ambos del autobús, gravemente heridos. Ella murió dos semanas después. El caso desató protestas masivas en todo el país y forzó un debate nacional sobre la violencia de género, la seguridad en el espacio público y la incapacidad del Estado para proteger a las mujeres.

En 2013, el Gobierno anunció una inversión millonaria a través de la creación de un nuevo fondo económico. Las organizaciones de la sociedad civil que se movilizaron tras el crimen habían pedido otra cosa: atención a las víctimas, asistencia jurídica y una red de casas de acogida, recuerda una abogada de derechos humanos que participó en aquellas discusiones.

El compromiso inicial, 10.000 millones de rupias (92 millones de euros), se destinaba al "empoderamiento, la seguridad y la protección de mujeres y niñas". El fondo acabó siendo conocido por el mismo nombre no oficial con el que la prensa india se refirió a la joven: Nirbhaya, "la que no tiene miedo".

Con los años, el Gobierno indio fue engordando la partida. En marzo de 2025 se habían desembolsado unos 58.000 millones de rupias (532 millones de euros). Los datos oficiales publicados en febrero de 2024 muestran que en torno al 50% fue a parar a funciones de vigilancia y policiales, frente al 31% dedicado a servicios de atención directa a las víctimas y teléfonos de emergencia.

Hay quien sostiene que esos nuevos sistemas de vigilancia no han aportado más seguridad a las mujeres. En 2014, un año después de la creación del Fondo Nirbhaya, la Oficina Nacional de Registros Criminales contabilizó 340.000 delitos contra mujeres en India. En 2023, el último ejercicio con datos disponibles, la cifra había subido cerca de un tercio, hasta los 450.000.

Flavia Agnes, abogada afincada en Bombay que calcula haber trabajado en unos 100.000 casos de violencia contra las mujeres a lo largo de cuarenta años de carrera, cree que la respuesta al clamor nacional estaba mal diseñada desde el principio: "No me he encontrado con casos en los que esta clase de vigilancia haya servido para identificar al acusado", afirma. La mayor parte de la violencia contra las mujeres en India, explica, no ocurre en los lugares que ven las cámaras, como las estaciones de tren, sino dentro de casa. "Alrededor del 95% de las violaciones las cometen personas conocidas".

Audrey D'Mello, directora de un centro que presta asistencia jurídica a supervivientes de la violencia en Bombay, tampoco ha visto en su terreno pruebas de que la vigilancia funcione. La infraestructura levantada en nombre de la seguridad de las mujeres, dice, rara vez ha tenido que ver con esa seguridad de las mujeres. Y es más ácida con el proyecto gubernamental: "También se dieron cuenta de que es más fácil colarlo en nombre de las mujeres".

Al margen de los datos de la Oficina Nacional de Registros Criminales, no hay elementos verificables que permitan sostener que la seguridad de las mujeres en el país se ha visto afectada a peor por el uso de estas cámaras de vigilancia en espacios públicos. El Ministerio de la Mujer y el Desarrollo Infantil indio, del que depende el Fondo Nirbhaya, no respondió a las peticiones de comentarios.

Prohibido en la UE, desplegado fuera

Cuatro juristas especializados en derecho europeo de la inteligencia artificial y la biometría coinciden en que los despliegues de la Región Este de los ferrocarriles indios y del programa Safe City de Ahmedabad serían ilegales en la UE. "Un despliegue así en un Estado miembro vulneraría con bastante claridad" el Reglamento europeo de IA, sostiene Rita Matulionyte, de la Macquarie Law School de Sídney.

Catherine Jasserand, de la KU Leuven, llega a la misma conclusión: "No creo que estos dos casos sean buenos ejemplos de uso en vivo del reconocimiento facial por parte de la Policía en espacios públicos". "Los dos despliegues son demasiado amplios para encajar en alguna de las excepciones", señala, en referencia a los supuestos tasados para la búsqueda de personas vulnerables, las amenazas terroristas y los sospechosos de delitos graves. Incluso acogiéndose a esas excepciones, la norma europea exige que antes exista una ley nacional que autorice la práctica, con reglas detalladas de supervisión, notificación y control judicial. 

España, donde está la sede de Herta, no ha aprobado ninguna ley de ese tipo: la empresa no podría operar legalmente aquí el sistema que opera en India.

El marco legal indio no ofrece una protección comparable. El país no cuenta con una ley integral de protección de datos en vigor y la que ha aprobado exime a la Policía y a las fuerzas de seguridad de forma tan amplia que despliegues como estos quedan, en la práctica, sin regular. "India es sin duda uno de los países que más está adoptando el reconocimiento facial en el mundo, y lo hace sin ninguna salvaguarda", resume Apar Gupta, abogado de derechos digitales en Delhi y fundador de la Internet Freedom Foundation.

Control de multitudes financiado con dinero europeo

Herta ha recibido dinero público europeo para desarrollar precisamente el tipo de tecnología que vende en India. Según el análisis de Investigate Europe, la compañía ha captado al menos 3 millones de euros en fondos comunitarios de investigación en los últimos cinco años, a los que se suman ayudas de programas nacionales españoles. La subvención más cuantiosa, de 2,36 millones de euros entre 2022 y 2024, sostuvo un proyecto de la empresa llamado FUTURE.

La tecnología desarrollada al amparo de ese proyecto estaba diseñada, según la propia Herta, para realizar "análisis del comportamiento de multitudes con el fin de identificar actividades anómalas y amenazas potenciales en grandes concentraciones, eventos públicos y zonas de alta afluencia".

Otra página de la web del proyecto, hoy retirada pero conservada en los archivos de internet, describía su capa de reconocimiento facial como una herramienta para que las fuerzas de seguridad pudieran "identificar de forma rápida y precisa a sospechosos y terroristas".

El Europarlamento aprueba el "chat control" pese a tener por tercera vez más votos en contra que a favor

El Europarlamento aprueba el "chat control" pese a tener por tercera vez más votos en contra que a favor

El caso de uso que describe Herta —identificación en tiempo real de sospechosos en espacios públicos concurridos— es exactamente el escenario que la UE prohibió con carácter general en su propio territorio poco después de que terminara el proyecto FUTURE. Y es, a la vez, el modelo que la empresa parece estar replicando en India.

"Como ocurre con muchas empresas tecnológicas, el conocimiento adquirido en proyectos de investigación puede contribuir a la evolución general de nuestra experiencia, nuestras metodologías y nuestra hoja de ruta de producto", responde un portavoz de Herta. "Sin embargo, los fondos europeos de investigación no se utilizan para financiar, operar o subvencionar despliegues comerciales concretos en India ni en ningún otro sitio". La Comisión Europea no respondió a las peticiones de comentarios antes del cierre de esta edición.

El eurodiputado italiano Brando Benifei fue el negociador del Parlamento Europeo en la recta final del Reglamento de IA. Aunque el uso de este reconocimiento facial está hoy prohibido con carácter general de puertas adentro, cree que la ley debe ir más lejos e impedir también su exportación fuera de la Unión: "La Unión Europea no puede pretender ser un campeón global de los derechos digitales si permite que sus empresas se lucren en el extranjero con herramientas que consideramos demasiado peligrosas para los ciudadanos europeos", afirma. "Deberíamos encontrar fórmulas para no permitir la exportación y el uso fuera de nuestras fronteras de sistemas que no autorizaríamos en casa".

Nico Schmidt (Investigate Europe), Mayank Aggarwal (The Reporters' Collective) e Ignacio Carrascón (infoLibre)

Más sobre este tema
stats