Skip to main content

    Biometría y protección de datos: una conexión imprescindible

    ¿Están la biometría y la protección de datos unidos realmente por una conexión imprescindible? Trataremos este y otros temas, como la normativa que debe cumplir.

    7 minutos de lectura

    ¿Qué significa el término biometría?

    La palabra biometría viene del griego “bios” – vida y “metron” – medida, y puede definirse como el estudio para el reconocimiento inequívoco de personas, basado en uno o más rasgos físicos o conductuales propios de uno mismo.

    Con el paso del tiempo se ha establecido como el medio más adecuado para identificar y autenticar personas de forma rápida, pero sobre todo con mucha confiabilidad, a través del uso de características biológicas únicas del sujeto.

    Existen las características de conducta, entre las que encontramos por ejemplo la forma de andar o la firma. Sin embargo, dentro de las características físicas están la huella dactilar o nuestro rostro.

    En un mundo tan tecnológico, cada vez está más extendido el tratamiento de datos biométricos en ámbitos muy diversos y con numerosas finalidades.

    En el sector de la seguridad su utilización cada vez es mayor en sistemas de control de acceso a recintos. También en el control de acceso a aplicaciones y también se ha adaptado como herramienta “onboarding” de muy alta fiabilidad para otras tecnologías.

    No obstante, debemos pararnos a analizar si aquello que estamos instalando como una ingeniería especializada es adecuado para el objetivo que se persigue. También sobre todo si cumple con las normativas vigentes en materia de protección de datos, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).  

    ¿Cómo recoge el RGPD la biometría?

    A este respecto, teniendo en cuenta que los datos biométricos vienen definidos en el RGPD como datos personales, el tratamiento que se haga de los mismos debe cumplir con la normativa de protección de datos y es por ello que hemos de ser especialmente cuidadosos en la interpretación de los artículos 4.14 y 9.1 del RGPD.

    El artículo 4.14 del RGPD define como dato biométrico a los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o huellas dactilares.

    Por otro lado, el artículo 9.1 del RGPD incluye entre los muchos datos de categoría especial los datos biométricos que están dirigidos a identificar de manera unívoca a una persona física.

    Entonces, llevando a cabo una interpretación conjunta de ambos artículos, se entiende que:

    Los datos biométricos solo constituirían una “categoría especial” de datos en el caso de que se sometan a un tratamiento técnico especifico dirigido a “identificar de manera unívoca” a una persona física.

    Es por ello que la regulación e interpretación jurídica de los sistemas biométricos debe estar ligada a dos puntos:

    • Las características técnicas: qué datos se van a tomar en nuestros sistemas.
    • Objetivo final y condiciones de funcionamiento: para qué se van a tomar esos datos.

    ¿Y cuándo podemos utilizar datos de carácter personal?

    Los datos de carácter personal solo pueden utilizarse si son adecuados, convenientes y no excesivos. Ello implica que se debe analizar en cada caso la necesidad y proporcionalidad de los datos tratados. Si la finalidad perseguida podría alcanzarse de una forma menos agresiva o invasiva.

    Para analizar la proporcionalidad de un sistema biométrico, este debe superar tres juicios:

    • Idoneidad: valorar si el sistema es eficaz para el objetivo perseguido.
    • Necesidad: analizar si el sistema biométrico es necesario para dar respuesta a la necesidad detectada, y no únicamente es el sistema más adecuado o rentable.
    • Proporcionalidad en sentido estricto: valorar si la pérdida de intimidad del individuo es proporcional a los beneficios que se esperan obtener.

    El uso de un sistema de identificación biométrica debe estar “justificado” y debe contar con todas las medidas de seguridad necesarias para garantizar la confidencialidad de los datos biométricos usados por el sistema de manera que dichos datos no se usen con otros fines diferentes a los aceptados por los interesados y de los que han sido informados.

    Resumiendo, sobre lo anterior, hay que analizar cómo se llevará el tratamiento de datos biométricos desde el punto de vista de protección de datos, siempre centrados en la relación directa con los sistemas de control de acceso y sus implicaciones en el marco del RGPD.

    Verificación o identificación

    Y llegamos a un punto importante sobre la forma de realizar un reconocimiento biométrico. Debemos escoger si trabajar con verificación/autenticación o identificación.

    Es importante diferenciar qué tipo de consulta se lleva a cabo con los datos biométricos. Aparecen entonces en escena dos términos que pueden parecer similares pero son muy distintos: verificación (1:1) e identificación biométrica (1:N).

    Hablamos de verificación/autenticación cuando el proceso busca una correspondencia “uno a uno”.

    Antes de nada, el usuario se identifica con un dato que puede ser un nombre o un DNI por ejemplo, y después el sistema recoge la característica biométrica y se compara con la muestra almacenada (adquirida antes con la verificación). Es un proceso sencillo pues está comparando solo dos muestras con un resultado de OK o KO.

    Identificación

    En cambio, si nos referimos a identificación entonces estamos comprobando si una persona es uno de los miembros de un grupo determinado (compara con todos a la vez). 

    Consiste en la comparación de la muestra recogida del usuario, obtenida en el momento de la identificación, frente a una base de datos de plantillas de usuarios ya registradas con anterioridad. Este método, conocido como “uno a muchos”, necesita comparar la muestra con cada una de las que ya estaban almacenadas para buscar un “matching”.

    Icono de identificación biométrica

    Muchas han sido las fuentes consultadas. Cada una tiene sus argumentos perfectamente soportados en el articulado legal de referencia y seguro que todos son buenos. 

    Si se me permite, preferiría aportar mi impresión personal que no deja de ser personal y perfectamente discutible.

    Hasta hoy en día esta cuestión referida a Verificación/Autenticación e Identificación siempre se trató desde el punto de vista técnico, pero ahora ya tiene implicaciones con la protección de datos que han tomado máxima relevancia. 

    Anteriormente mencionamos los artículos 4.14 y el artículo 9.1 del RGPD que definen lo que se considera dato biométrico de carácter especial, haciendo hincapié sobre el tratamiento técnico específico para identificar sin equivocación a una persona concreta.

    Además, vemos que el Considerando 51 del RGPD dice lo siguiente: 

    “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.

    Una vez analizados estos artículos del RGPD se puede interpretar que todo tratamiento de datos biométricos no debe ser considerado como tratamiento de datos de categorías especial.

    Si adicionalmente nos fijamos en las diferencias entre identificación biométrica (1:N) y verificación/autenticación biométrica (1:1), aunque el artículo 4 del RGPD podría hacer pensar que el concepto de dato biométrico incluye a los dos, hemos visto que los datos biométricos únicamente tendrán la consideración de “datos de categoría especial” en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (1:N) y no cuando se corresponda con verificación biométrica (1:1).

    La importancia del cumplimiento legal

    Hemos estado viendo RGPD, datos de categoría especial, juicios de idoneidad, necesidad y proporcionalidad, confidencialidad, diferenciación entre verificación e identificación…, pero aún hay más asuntos que se deben tener en cuenta.

    Hay un factor de cumplimiento legal muy importante que requiere que todos estos aspectos mencionados sean analizados. Antes de nada, mediante la realización de una evaluación de impacto de protección de datos que determine si se cumplen los juicios antes expuestos. Si se está aplicando correctamente el reconocimiento biométrico.

    Una Evaluación de Impacto de Protección de Datos es una evaluación relacionada con la privacidad cuyo objetivo es identificar y analizar cómo la privacidad de los datos puede verse afectada por determinadas acciones que se apliquen incorrectamente.

    Siempre se exigirá una Evaluación de Impacto de Protección de Datos cuando el tratamiento de los datos pueda suponer un alto riesgo para los derechos y libertades de las personas o para su privacidad y siempre previamente a cualquier trabajo sobre el tratamiento de los datos.

     

    Hay que analizar cómo va a ser el tratamiento en sí. Evaluar los riesgos que el mismo supone y aplicar las medidas correctoras oportunas para poder llevarlo a cabo. Es posible que se concluya que el tratamiento de datos no se puede llevar a cabo. Otra opción es que se debe cambiar el sistema de tratamiento por otro diferente, menos invasivo.

    Valorando la biometría en todos sus aspectos

    Existe mucha reglamentación que no todas las empresas tienen en cuenta a la hora de diseñar una solución de seguridad que implique un tratamiento de datos biométricos.

    No solo hay que escoger un sistema de reconocimiento biométrico porque un cliente lo solicite. Tampoco porque esté de moda o porque pensemos que puede ser el más idóneo. Se debe analizar cuál va a ser el impacto sobre la privacidad de nuestra información biométrica.

    Hay que estudiar de forma exhaustiva si es válido para el objetivo. También valorar si es realmente necesario si la pérdida de privacidad es proporcional al beneficio que se va a entregar.

    ¿Te has parado alguna vez a pensar en esto? ¿Tus datos y los de tus empleados se están tratando de forma correcta? ¿Sabes si has contado con el consultor apropiado para este tema?

    En Securitas podemos ayudarte a definir una solución de seguridad que cumpla con la normativa vigente en materia de protección de datos.

    Podemos, y sabemos ayudarte.

    Topics

    De conformidad con el artículo 6.1 a) del Reglamento Europeo de Protección Datos, los datos consignados en este formulario serán tratados por el responsable del tratamiento, SECURITAS SEGURIDAD ESPAÑA, S.A., con la finalidad de gestión de la presente solicitud, y cuyo tratamiento se realiza en base a la Política de Privacidad.

    Política de Privacidad

    Gestionar preferencias

    Puede decidir cómo usamos las cookies en su dispositivo ajustando la configuración a continuación Haga clic en "Aceptar todas" si acepta todas las cookies. Si no acepta que almacenemos cookies relacionadas con Google Analytics, puede dejar la casilla vacía. Todas las demás cookies que usamos se consideran como siempre activas ya que se requiere que dejemos que los visitantes interactúen y usen los sitios web. Cuando haya hecho su elección, desplácese hacia abajo de la lista y haga clic en el botón "Confirmar mis elecciones", confirme el clic en la parte inferior de la lista.

    Aceptar
    • Nombre:
      _ga

      Se utiliza para distinguir a los usuarios. Con cada visita se envía un identificador único asociado con cada usuario para determinar qué tráfico pertenece a qué usuario. Esta cookie permite al propietario del sitio web rastrear el comportamiento de un visitante y medir el rendimiento del sitio web. El objetivo principal de esta cookie es mejorar el rendimiento del sitio web.

      Nombre:
      _gat

      Se utiliza para acelerar las tasas de solicitud de información en el sitio web. Esta cookie no almacena ninguna información del usuario. El objetivo principal de esta cookie es mejorar el rendimiento del sitio web.

      Nombre:
      _gid

      Se utiliza para distinguir usuarios. Esta cookie permite al propietario del sitio web realizar un seguimiento del comportamiento de los visitantes y medir el rendimiento del sitio web. El objetivo principal de esta cookie es mejorar el rendimiento del sitio web.

    • Nombre:
      ai_session

      Acelera los tiempos de carga de la página y anula cualquier restricción de seguridad que pueda aplicarse a un navegador en función de la dirección IP de la que proviene.

      Nombre:
      ai_user

      Cookie de identificación de usuario única para contar el número de usuarios que acceden a una aplicación a lo largo del tiempo.

    • Nombre:
      ARRAffinity

      Enruta la solicitud realizada a través de un navegador web a la misma máquina en el entorno de nube DXC. Consulte ARRAffinity - Microsoft Azure. Esta cookie se elimina cuando cierra su navegador.

    • Nombre:
      __cfuid

      Acelera los tiempos de carga de la página y anula cualquier restricción de seguridad que pueda aplicarse a un navegador en función de la dirección IP de la que proviene.

    • Nombre:
      CookiesAccept

      Se utiliza para realizar un seguimiento de si el usuario ha aceptado el uso de cookies o no. Esto no se establece a menos que el visitante haya hecho clic en "Aceptar" en el banner de cookies en la parte superior del sitio web. El objetivo principal de esta cookie es mejorar el rendimiento del sitio web.

    • Nombre:
      EPiForm_{FormGuid}:{Username}

      Almacena envíos de formularios parciales para que un visitante pueda continuar con el envío de un formulario al regresar. Se crea una cookie para cada formulario y cada visitante registrado. Almacena el estado de envío actual del formulario (formGuid, submitID y si el envío está finalizado o no.

      Nombre:
      .EPiForm_BID

      Identifica el envío de formularios al sitio web cuando un visitante envía datos a través de un formulario de Episerver. Almacena un GUID como ID del navegador.

      Nombre:
      .EPiForm_VisitorIdentifier

      Identifica el envío de formularios al sitio web cuando un visitante envía datos a través de un formulario Episerver. Almacena un GUID que es el identificador del visitante. Persistente (90 días desde su creación).

    • Nombre:
      EPI-MAR-<Content GUID>

      Registra la interacción de un visitante con una prueba de optimización del sitio web en ejecución, para garantizar que el visitante tenga una experiencia constante.

    • Nombre:
      ASP.NET_SessionId

      Se utiliza para realizar un seguimiento de la navegación de un usuario por el sitio web. Se utiliza para transferir información entre páginas y para almacenar información que el usuario podría reutilizar en diferentes páginas. El objetivo principal de esta cookie es mejorar el rendimiento del sitio web.

    Lo sentimos, está utilizando un navegador no compatible con nuestra página. Le recomendamos utilizar Chrome, Edge, Safari o Firefox para acceder a securitas.es