Biometría y protección de datos: la AEPD y el Supervisor Europeo nos dan algunas pistas
Ambos organismos dan su visión sobre catorce ideas o tópicos que existen en torno a la identificación de individuos por estos medios
La Agencia Española de Protección de Datos (AEPD) ha dejado un poco apartado el coronavirus para traernos, de la mano del Supervisor Europeo de Protección de Datos (órgano europeo conocido por sus siglas en inglés, EDPS, que vela por que las instituciones de la Unión Europa cumplan con la normativa en materia de protección de datos), un documento en el que ambos organismos dan su visión sobre catorce ideas o tópicos que existen en torno a la identificación de individuos por medio de sus datos biométricos.
Según el Reglamento General de Protección de Datos, los datos biométricos son aquellos "relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona". Cuando fichamos en el trabajo usando nuestra huella dactilar o cuando nuestro móvil se desbloquea tras haber escaneado nuestro rostro estamos permitiendo la utilización de nuestros datos biométricos con la finalidad de identificarnos.
Parece que la utilización de este tipo de datos con la finalidad de identificar a personas está de moda y permanecerá con nosotros mucho tiempo. Y no es casualidad. Estas técnicas de reconocimiento de huella o reconocimiento facial permiten, con bastante fiabilidad, identificar a una persona; suelen ser cómodas para los usuarios y, en muchos casos, mitigan riesgos de fraude.
El documento preparado por la AEPD y el EDPS tiene un carácter fundamentalmente técnico y analiza distintas ideas que existen en torno a la seguridad y fiabilidad de los sistemas de identificación basados en datos biométricos. Este documento puede ser de gran interés para las empresas que utilizan este tipo de tecnología, pues advierte y pone el foco en los principales riesgos que lleva asociados, que en muchas ocasiones pasan desapercibidos.
Desde mi humilde opinión, inevitablemente condicionada por mi vocación por la protección de datos, considero que los principales puntos a destacar de este documento (de los catorce que tiene) son los siguientes:
La utilización de datos biométricos es más intrusiva que la utilización de un código único a efectos de permitir a alguien identificarse. La AEPD y el EDPS resaltan que este tipo de datos pueden revelar información sobre el origen racial o el género de alguien e, incluso, su estado emocional (por ejemplo, analizando la expresión de su cara durante el trámite de reconocimiento facial). No es casualidad que el Reglamento General de Protección de Datos considere los datos biométricos como una categoría especial de dato y someta su tratamiento al cumplimiento de fuertes obligaciones.
La identificación y autenticación mediante datos biométricos no es 100 % infalible y, desde luego, puede verse intencionadamente alterada. Como se indica en el documento, se han dado casos en que los sistemas fallan cuando dos personas son muy parecidas físicamente y, por desgracia, existen diversos métodos para tratar de engañar a los sistemas de reconocimiento facial, huella dactilar y similares. Las consecuencias de que fallen estos sistemas pueden ser catastróficas (si, por ejemplo, logran acceder a nuestras cuentas bancarias) y, por ello, implementar fuertes medidas de seguridad resulta fundamental.
Los datos biométricos los "llevamos siempre encima", y ello supone un riesgo. Cualquiera puede hacernos una foto o captar nuestra huella dactilar. Las contraseñas o códigos, en cambio, no los llevamos apuntados en ningún sitio (al menos en teoría). De nuevo, adoptar medidas que permitan diferenciar cuándo estamos mostrando nuestra cara y cuándo una fotografía, por ejemplo, será imprescindible.
Generalmente, los sistemas de identificación y autenticación en base a información biométrica almacenan parámetros o características del dato biométrico y no el dato en sí mismo. Ello no obstante, se ha demostrado que a partir de dichos parámetros es posible reconstruir un dato biométrico (al menos en parte). Esto supone que quien tenga acceso a dichos parámetros podría reconstruir gran parte del dato y utilizarlo fraudulentamente.
En el documento también se destaca, además de las implicaciones en materia de protección de datos o seguridad que tiene el uso de esta tecnología, que la misma puede conducir a situaciones de discriminación. Por ejemplo, si una persona carece de huellas dactilares como consecuencia de un defecto físico.
Sin perjuicio de todo lo anterior, creo firmemente que la intención de la AEPD y del EDPS no es desvirtuar los beneficios de la utilización de este tipo de tecnologías, sino concienciar a usuarios y empresas de que su uso también supone riesgos si no se adoptan las medidas apropiadas.
El tratamiento de este tipo de datos es perfectamente legal desde la perspectiva de protección de datos, siempre y cuando, teniendo en cuenta las circunstancias que rodeen al tratamiento que se pretende efectuar de los mismos, se respeten una serie de requisitos y se utilicen con suficientes garantías.
Ester Vidal es senior associate del equipo de Privacidad y Protección de Datos de Bird & Bird.