BIOMETRÍA Y PROTECCIÓN DE DATOS PERSONALES

La utilización de técnicas biométricas para la identificación debe ser objeto de medidas especiales de protección. Al utilizarlas, empresas y organizaciones adquieren obligaciones con sus usuarios. La Agencia Española de Protección de Datos - AEPD desempeña un papel divulgativo y pedagógico al respecto en uno de sus documentos.

La biometría es uno de los nexos tecnológicos fuertes tendidos desde las tecnologías de la información. La medición de datos biológicos (huellas dactilares, retina, rasgos faciales, voz, manos, escritura, patrones en el uso de teclados, en la forma de caminar e incluso tensión vascular, etc.) tiene como fin principal hacer mucho más seguros los procesos de autentificación de identidades, pero esta seguridad implica nuevos riesgos y la obligación de los responsables de evitar o reducir dichos riesgos, estableciendo las necesarias garantías para evitar perjuicios para los derechos y libertades de las personas físicas.

Durante el verano de este 2020, la Agencia Española de Protección de Datos - AEPD y el Supervisor Europeo de Protección de Datos presentaron un documento denominado 14 equívocos con relación a la identificación y autenticación biométrica, que apunta a algunos de los convencionalismos o tópicos existentes sobre esta tecnología y que podrían entenderse como posibles riesgos para las personas físicas.

Técnicamente, la identificación a través de biometría consiste en comparativas entre información de entrada desde una persona con otra almacenada sobre la identidad de ésta. La normativa reflejada en el RGPD se refiere a los datos biométricos de la siguiente forma: características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.

Una de las cuestiones involucradas es que, cuando se utilizan estas soluciones, en términos prácticos estamos autorizando a una aplicación la utilización de datos biométricos para validar nuestro acceso. Se trata de soluciones tecnológicas que pretenden reducir los riesgos para la seguridad; en contraste, por ejemplo, con modelos basados en nombres de usuario, claves secretas, etc., que no parecen ser completamente seguras.

El documento preparado por la Agencia Española de Protección de Datos - AEPD y el Supervisor Europeo de Protección de Datos hace cierto hincapié en los riesgos. En relación a la privacidad, empecemos por puntualizar lo más evidente: la utilización de datos biométricos para validar identificaciones es mucho más invasiva. Lo que inevitablemente entra en terrenos que siempre se prestan a matices y, con frecuencia, se convierten en conflictivos: la biometría arroja información que puede utilizarse para interpretaciones sobre género, color de piel y una gama más o menos amplia de estados emocionales. De ahí que el Reglamento General de Protección de Datos - RGPD entienda que este tipo de sistemas son objeto de atención especial, prohibiendo su utilización y estableciendo un conjunto de excepciones que podrían levantar dicha prohibición

PROTECCIÓN ESPECIAL POR PARTE DEL RGPD

En sentido de lo anterior, la norma europea de protección de datos impone una evaluación de impacto. Debe determinarse con claridad qué sistemas y medidas de seguridad irán a impedir accesos no autorizados y pérdidas, donde la información de los usuarios de estas soluciones pueda quedar expuesta. Añadido a esto tenemos el principio de proporcionalidad entre los objetivos y el tratamiento en sí. Por otra parte, como resulta lógico, debe contarse con el expreso consentimiento de tales usuarios, luego de ser ampliamente informados sobre el manejo del que serán objeto sus datos (por ejemplo, si van a ser transferidos a terceros).

Por supuesto, el manejo de este tipo de tecnología genera una serie de obligaciones a la empresa u organización. Por una parte, tenemos la adopción de medidas técnicas que realmente garanticen la seguridad. Este es un punto complicado por la confusión y diversidad de productos que existen en el mercado.

Los expertos parecen coincidir en algunas recomendaciones, como evitar que los datos biométricos tengan relación con información de otra naturaleza o con otros sistemas alternos de seguridad, que los datos almacenados se presenten como fragmentados, evitar bases de datos centralizadas, así como contar con copias de seguridad remotas y suficientemente protegidas, entre otras.

Claro, si hablamos sobre el riesgo de extraer información personal, como color de piel o aquella que pueda interpretarse para estudiar estados anímicos, también nos referimos a la obligación por parte de la estructura de mantener la confidencialidad.

El documento mencionado más arriba también se refiere al problema de la fiabilidad. Se sabe de fallos cuando dos usuarios comparten algunos rasgos faciales, por ejemplo, pero también falsificación de huellas dactilares, etc. Es decir, en biometría como base para la identificación el centro del debate es la seguridad. Aunque es igualmente cierto que las tecnologías avanzan y sea cada vez más difícil engañar a estos sistemas.

Pero, más tarde, tenemos los riesgos asociados a la “ingeniería inversa”. La identificación biométrica puede basar parte de su seguridad, precisamente, en el almacenamiento de información sobre rasgos, medidas, proporciones, etc., sin llegar a registrar el cuadro o informe completo sobre el usuario, la fuente real de los datos en juego. Bien, ¿y si un acceso fraudulento utiliza todos esos parámetros y reconstruye la imagen del sujeto con autorización? Es evidente que existe un riesgo de suplantación de identidad que podría tener consecuencias para las personas suplantadas.

Naturalmente, cabe mencionar el valioso fin pedagógico de este tipo de materiales creados y divulgados con la participación de la Agencia Española de Protección de Datos - AEPD, a la vez coherente con sus esfuerzos formativos alrededor del RGPD y enfocados a todo el mundo de habla hispana.


Convocatoria 2021 del Programa Modular (Experto, Especialista y Máster) en el Reglamento General de Protección de Datos – UNED – AEPD: MATRÍCULA ABIERTA

Convocatoria 2021 del Programa Modular (Experto, Especialista y Máster) en el Reglamento General de Protección de Datos – UNED – AEPD

Compartir:

Email de información: jglez@cee.uned.es - rhc@agpd.es

Ir arriba