¿Qué significa el término biometría?
La palabra biometría viene del griego “bios” – vida y “metron” – medida, y puede definirse como el estudio para el reconocimiento inequívoco de personas, basado en uno o más rasgos físicos o conductuales propios de uno mismo.
Con el paso del tiempo se ha establecido como el medio más adecuado para identificar y autenticar personas de forma rápida, pero sobre todo con mucha confiabilidad, a través del uso de características biológicas únicas del sujeto.
Existen las características de conducta, entre las que encontramos por ejemplo la forma de andar o la firma. Sin embargo, dentro de las características físicas están la huella dactilar o nuestro rostro.
En un mundo tan tecnológico, cada vez está más extendido el tratamiento de datos biométricos en ámbitos muy diversos y con numerosas finalidades.
En el sector de la seguridad su utilización cada vez es mayor en sistemas de control de acceso a recintos. También en el control de acceso a aplicaciones y también se ha adaptado como herramienta “onboarding” de muy alta fiabilidad para otras tecnologías.
No obstante, debemos pararnos a analizar si aquello que estamos instalando como una ingeniería especializada es adecuado para el objetivo que se persigue. También sobre todo si cumple con las normativas vigentes en materia de protección de datos, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
¿Cómo recoge el RGPD la biometría?
A este respecto, teniendo en cuenta que los datos biométricos vienen definidos en el RGPD como datos personales, el tratamiento que se haga de los mismos debe cumplir con la normativa de protección de datos y es por ello que hemos de ser especialmente cuidadosos en la interpretación de los artículos 4.14 y 9.1 del RGPD.
El artículo 4.14 del RGPD define como dato biométrico a los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o huellas dactilares.
Por otro lado, el artículo 9.1 del RGPD incluye entre los muchos datos de categoría especial los datos biométricos que están dirigidos a identificar de manera unívoca a una persona física.
Entonces, llevando a cabo una interpretación conjunta de ambos artículos, se entiende que:
Los datos biométricos solo constituirían una “categoría especial” de datos en el caso de que se sometan a un tratamiento técnico especifico dirigido a “identificar de manera unívoca” a una persona física.
Es por ello que la regulación e interpretación jurídica de los sistemas biométricos debe estar ligada a dos puntos:
- Las características técnicas: qué datos se van a tomar en nuestros sistemas.
- Objetivo final y condiciones de funcionamiento: para qué se van a tomar esos datos.
¿Y cuándo podemos utilizar datos de carácter personal?
Los datos de carácter personal solo pueden utilizarse si son adecuados, convenientes y no excesivos. Ello implica que se debe analizar en cada caso la necesidad y proporcionalidad de los datos tratados. Si la finalidad perseguida podría alcanzarse de una forma menos agresiva o invasiva.
Para analizar la proporcionalidad de un sistema biométrico, este debe superar tres juicios:
- Idoneidad: valorar si el sistema es eficaz para el objetivo perseguido.
- Necesidad: analizar si el sistema biométrico es necesario para dar respuesta a la necesidad detectada, y no únicamente es el sistema más adecuado o rentable.
- Proporcionalidad en sentido estricto: valorar si la pérdida de intimidad del individuo es proporcional a los beneficios que se esperan obtener.
El uso de un sistema de identificación biométrica debe estar “justificado” y debe contar con todas las medidas de seguridad necesarias para garantizar la confidencialidad de los datos biométricos usados por el sistema de manera que dichos datos no se usen con otros fines diferentes a los aceptados por los interesados y de los que han sido informados.
Resumiendo, sobre lo anterior, hay que analizar cómo se llevará el tratamiento de datos biométricos desde el punto de vista de protección de datos, siempre centrados en la relación directa con los sistemas de control de acceso y sus implicaciones en el marco del RGPD.
Verificación o identificación
Y llegamos a un punto importante sobre la forma de realizar un reconocimiento biométrico. Debemos escoger si trabajar con verificación/autenticación o identificación.
Es importante diferenciar qué tipo de consulta se lleva a cabo con los datos biométricos. Aparecen entonces en escena dos términos que pueden parecer similares pero son muy distintos: verificación (1:1) e identificación biométrica (1:N).
Hablamos de verificación/autenticación cuando el proceso busca una correspondencia “uno a uno”.
Antes de nada, el usuario se identifica con un dato que puede ser un nombre o un DNI por ejemplo, y después el sistema recoge la característica biométrica y se compara con la muestra almacenada (adquirida antes con la verificación). Es un proceso sencillo pues está comparando solo dos muestras con un resultado de OK o KO.
Identificación
En cambio, si nos referimos a identificación entonces estamos comprobando si una persona es uno de los miembros de un grupo determinado (compara con todos a la vez).
Consiste en la comparación de la muestra recogida del usuario, obtenida en el momento de la identificación, frente a una base de datos de plantillas de usuarios ya registradas con anterioridad. Este método, conocido como “uno a muchos”, necesita comparar la muestra con cada una de las que ya estaban almacenadas para buscar un “matching”.
Muchas han sido las fuentes consultadas. Cada una tiene sus argumentos perfectamente soportados en el articulado legal de referencia y seguro que todos son buenos.
Si se me permite, preferiría aportar mi impresión personal que no deja de ser personal y perfectamente discutible.
Hasta hoy en día esta cuestión referida a Verificación/Autenticación e Identificación siempre se trató desde el punto de vista técnico, pero ahora ya tiene implicaciones con la protección de datos que han tomado máxima relevancia.
Anteriormente mencionamos los artículos 4.14 y el artículo 9.1 del RGPD que definen lo que se considera dato biométrico de carácter especial, haciendo hincapié sobre el tratamiento técnico específico para identificar sin equivocación a una persona concreta.
Además, vemos que el Considerando 51 del RGPD dice lo siguiente:
“El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.
Una vez analizados estos artículos del RGPD se puede interpretar que todo tratamiento de datos biométricos no debe ser considerado como tratamiento de datos de categorías especial.
Si adicionalmente nos fijamos en las diferencias entre identificación biométrica (1:N) y verificación/autenticación biométrica (1:1), aunque el artículo 4 del RGPD podría hacer pensar que el concepto de dato biométrico incluye a los dos, hemos visto que los datos biométricos únicamente tendrán la consideración de “datos de categoría especial” en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (1:N) y no cuando se corresponda con verificación biométrica (1:1).
La importancia del cumplimiento legal
Hemos estado viendo RGPD, datos de categoría especial, juicios de idoneidad, necesidad y proporcionalidad, confidencialidad, diferenciación entre verificación e identificación…, pero aún hay más asuntos que se deben tener en cuenta.
Hay un factor de cumplimiento legal muy importante que requiere que todos estos aspectos mencionados sean analizados. Antes de nada, mediante la realización de una evaluación de impacto de protección de datos que determine si se cumplen los juicios antes expuestos. Si se está aplicando correctamente el reconocimiento biométrico.
Una Evaluación de Impacto de Protección de Datos es una evaluación relacionada con la privacidad cuyo objetivo es identificar y analizar cómo la privacidad de los datos puede verse afectada por determinadas acciones que se apliquen incorrectamente.
Siempre se exigirá una Evaluación de Impacto de Protección de Datos cuando el tratamiento de los datos pueda suponer un alto riesgo para los derechos y libertades de las personas o para su privacidad y siempre previamente a cualquier trabajo sobre el tratamiento de los datos.
Hay que analizar cómo va a ser el tratamiento en sí. Evaluar los riesgos que el mismo supone y aplicar las medidas correctoras oportunas para poder llevarlo a cabo. Es posible que se concluya que el tratamiento de datos no se puede llevar a cabo. Otra opción es que se debe cambiar el sistema de tratamiento por otro diferente, menos invasivo.
Valorando la biometría en todos sus aspectos
Existe mucha reglamentación que no todas las empresas tienen en cuenta a la hora de diseñar una solución de seguridad que implique un tratamiento de datos biométricos.
No solo hay que escoger un sistema de reconocimiento biométrico porque un cliente lo solicite. Tampoco porque esté de moda o porque pensemos que puede ser el más idóneo. Se debe analizar cuál va a ser el impacto sobre la privacidad de nuestra información biométrica.
Hay que estudiar de forma exhaustiva si es válido para el objetivo. También valorar si es realmente necesario si la pérdida de privacidad es proporcional al beneficio que se va a entregar.
¿Te has parado alguna vez a pensar en esto? ¿Tus datos y los de tus empleados se están tratando de forma correcta? ¿Sabes si has contado con el consultor apropiado para este tema?
En Securitas podemos ayudarte a definir una solución de seguridad que cumpla con la normativa vigente en materia de protección de datos.
Podemos, y sabemos ayudarte.