Tratamiento de datos biométricos desde un enfoque de privacidad

La recopilación y el uso de datos biométricos están sujetos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). El RGPD y la LOPDGDD proporcionan un marco legal para el tratamiento de información de carácter personal, incluidos los datos biométricos, que establecen los límites y obligaciones de los responsables de datos y los encargados del tratamiento de los mismos.

En el caso de los datos biométricos, estos deben estar protegidos adecuadamente y se deben cumplir los principios de proporcionalidad y necesidad. Esto significa que el responsable de datos debe asegurarse de que los datos biométricos que se recopilen sean los mínimos necesarios para el propósito para el que se recopilan, y que se almacenen y procesen de acuerdo con el propósito específico para el que se recopilaron.

Además, los datos biométricos deben ser tratados de manera segura, y el responsable del tratamiento debe tomar las medidas necesarias para protegerlos de cualquier acceso y/o tratamiento no autorizado. Esto incluye el uso de cifrado, la implementación de medidas de seguridad físicas, como cerraduras y sistemas de vigilancia, y la auditoría de los sistemas de seguridad para garantizar que se cumplan los estándares de seguridad.

Además, el responsable del tratamiento de datos debe proporcionar información a los usuarios sobre cómo se usan sus datos biométricos, incluido el propósito para el que se recopilan, el tiempo durante el cual se guardarán los datos y los derechos que tienen los usuarios de acceder, rectificar, eliminar o restringir el uso de los mismos, entre otros. El Responsable del tratamiento también debe garantizar que los usuarios tengan el derecho de presentar una reclamación ante la Autoridad de Protección de Datos.

Tanto el RGPD como la LOPDGDD exigen que las empresas cumplan con determinadas reglas y directrices sobre el uso y el tratamiento de los datos biométricos. Este tipo de datos, considerados sensibles o de categorías especiales, deben tratarse con un alto grado de seguridad, y la información debe ser recopilada, almacenada y utilizada de forma responsable. Esto significa que los datos biométricos están sujetos a los requisitos de privacidad y protección de datos establecidos por el RGPD, los cuales se identificarán a lo largo de este artículo.

Definición y tipos de datos biométricos

Los datos biométricos hacen referencia a los datos generados por el uso de características físicas o comportamentales únicas para identificar a un individuo; con respecto a la identidad digital, se usan para comprobar las características únicas y la singularidad de un sujeto para verificar que es quien dice ser.

Estas características son modeladas digitalmente, y se usan para realizar la autenticación, la identificación y la autorización de usuarios, etc. y, además, estas características se pueden medir, procesar y comparar con una base de datos de características reconocidas.

Existen diferentes tipos de datos biométricos y distinciones o divisiones de los mismos en base a diferentes aspectos.

En primer lugar, se pueden categorizar en función de su naturaleza, de esta forma se tiene lo siguiente:

• Universales: cuando el dato en cuestión existe en todos los individuos.
• Únicos: cuando es distinguido o único en cada persona.
• Permanentes: cuando se manteniente a lo largo del tiempo.

Los datos biométricos también se pueden clasificar en relación con las características individuales que recogen. En este sentido, los datos biométricos más comunes y sujetos a la normativa vigente de protección de datos son los siguientes:
 

• Huella dactilar:
  La huella dactilar es una característica física única de cada persona, que se forma a partir de las líneas, relieves y patrones que se encuentran en la superficie de la piel de los dedos.
  
  Esta característica es utilizada en distintos campos, como en la identificación de personas, la seguridad y la vigilancia. Se puede registrar de diversas formas, como mediante un escáner o una cámara especializada que capture la imagen de la huella. Una vez registrada, se almacena en una base de datos y se utiliza para compararla con otras huellas dactilares y verificar la identidad de una persona.
  
  Quizás sea el dato biométrico más utilizado debido a su bajo coste, alta tasa de precisión y fácil usabilidad por parte del usuario.

• Reconocimiento facial:
  El reconocimiento facial es una tecnología que permite la identificación de personas a partir de las características de su rostro. Esta tecnología se basa en un software que analiza las imágenes de rostros y busca coincidencias con otras imágenes almacenadas en una base de datos.

• Detección de la retina:
  La detección de retina es una tecnología que permite la identificación de personas a partir de las características únicas de su retina. Esta tecnología se basa en un software que analiza las imágenes de la retina captadas a través de una cámara de infrarrojos. Estos patrones son únicos para cada persona y nunca varían.

• Detección de la voz:
  Consiste en la detección de la voz de un individuo mediante el uso de tecnologías de procesamiento de lenguaje natural y reconocimiento de voz, que pueden analizar y comprender el habla humana y ejecutar acciones en consecuencia. La detección de voz se utiliza en aplicaciones como asistentes virtuales, dispositivos de control de hogar y sistemas de automatización de edificios.

• Reconocimiento de la forma de andar:
  Con esta técnica, se analiza la forma de caminar de un individuo a través del uso de un sistema de detección especial en el suelo y una cámara de alta resolución. Lo que mide esta cámara es la distribución del peso, la velocidad de pasos y el estilo de caminar. Esto hace que previo a un patrón almacenado, se pueda comparar los nuevos datos e identificar a una persona.

• Reconocimiento de la firma:
  El reconocimiento de firma se refiere a la capacidad de un sistema para analizar y comparar una firma manuscrita con una firma previamente registrada para verificar su autenticidad. Esto se lleva a cabo a través del uso de tecnologías de análisis de imagen y procesamiento de lenguaje natural, que permiten al sistema examinar las características únicas de una firma y compararlas con las de la firma registrada.

• Reconocimiento vascular:
  El reconocimiento vascular se refiere al análisis y la capacidad de un sistema para examinar y comparar las características únicas del patrón vascular de un individuo con un patrón vascular previamente registrado para verificar su identidad. Esto se puede lograr mediante el uso de tecnologías de análisis de imagen y reconocimiento de patrones, que permiten al sistema examinar una imagen de la palma de la mano o del dedo de un usuario y compararla con una imagen previamente registrada. Este patrón es interno e incluso puede obtenerse de las muñecas.

• Reconocimiento de escrito:
  El reconocimiento de escrito se realiza mediante el uso de tecnologías de procesamiento de lenguaje natural y reconocimiento óptico de caracteres (OCR, por sus siglas en inglés), que permiten al sistema examinar una imagen o un archivo de texto y extraer el contenido escrito en ella. Cada persona tiene una forma concreta de escribir, de dibujar ciertas palabras o letras que las hacen única.

• Geometría de la mano:
  La detección de geometría de la mano consiste en identificar y medir las características geométricas de la mano de un usuario, como la forma y tamaño de los huesos y las articulaciones, y la disposición y movimiento de los dedos. Esto se logra mediante el uso de tecnologías de análisis de imagen y reconocimiento de patrones, que permiten al sistema examinar una imagen o un video de la mano y medir sus características geométricas.
  
  La detección de geometría de la mano se utiliza en aplicaciones como la identificación de usuarios, la seguridad de acceso y la interfaz de usuario natural. Este sistema puede resultar no muy fiable debido a que las manos son propensas a sufrir modificaciones, lesiones, etc. que pueden hacer que la identificación se pueda ver afectada.

• Reconocimiento de escritura en teclado:
  El reconocimiento de escritura en teclado consiste en medir la fuerza y/o presión con la que un individuo teclea o pulsa, el tiempo de pulsación y el plazo que transcurre entre dos pulsaciones de teclado. A través de esta técnica se puede identificar a una persona, cuyo patrón se haya almacenado previamente.

• Detección del iris:
  La detección de iris es una tecnología que permite la identificación de personas a partir de las características únicas de su iris. Esta tecnología se basa en un software que analiza las imágenes del iris a través de una cámara de infrarrojos que hace una foto del ojo a través de la cual obtiene los detalles del iris y busca coincidencias con otras imágenes almacenadas en una base de datos.

Otro tipos de datos biométricos pueden ser:

• La piel
• El ADN
• Las orejas

Usabilidad y empleo de los datos biométricos

Estos datos biométricos puede utilizarse para las siguientes finalidades:

• Detección de seres humanos.
• Detección de un rostro u otra particularidad anatómica.
• Evaluación de modelos y comportamientos.
• Perfilado, clasificación y toma de decisiones.
• Autenticación.
• Identificación.
• Seguimiento de individuos.
• Identificación de personas desaparecidas o fallecidas.
• Investigación por parte de una autoridad judicial o administrativa que requiera este tipo de datos.
• Etc.

El orden de la lista anterior atiende a las categorías de operaciones que puede llevarse a cabo con datos biométricos de menos a más intrusivas o con más impacto en los derechos de las personas afectadas.

Algunos ejemplos prácticos, de algunas de estas funcionalidades son:

• Desbloqueo de smartphone u otros dispositivos como workstations, pcs u otro tipo de dispositivos portátiles.
• Autorización de acceso a instalaciones o áreas restringidas.
• Pasaportes biométricos.
• Control de migración.
• Etc.

Datos biométricos en el RGPD

Los datos biométricos, como ya se puede intuir, son datos personales, puesto que permiten identificar de forma unívoca a un individuo. Esto significa que cualquier empresa u organización que lleve a cabo cualquier tipo de tratamiento con datos biométricos, debe tener en cuenta y aplicar los artículos que le sean de aplicación.

En concreto, el RGPD recoge en su artículo 4.14 la siguiente definición:

"Datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos"

y en su artículo 9, éstos son considerados como pertenecientes a la categoría de datos sensibles o especialmente protegidos cuando se usan para la identificación, de forma unívoca, de una persona física. Esto provoca que este tipo de datos deban cumplir con unas medidas de seguridad más severas que otros tipos de datos no sensibles.

Obligaciones de protección de datos y medidas de seguridad para organizaciones que tratan datos biométricos

Base jurídica del tratamiento

La primera pregunta que debe formularse el responsable del tratamiento con respecto a los datos biométricos y, en general, cuando desea realizar cualquier tratamiento de datos de carácter personal es ¿cuándo y bajo que circunstancias se pueden tartar estos datos? Responder a esta pregunta no es siempre del todo sencillo, ya que cualquier tratamiento de datos de carácter personal, incluidos los datos biométricos, debe basarse en alguna de las bases jurídicas recogidas en el RGPD:

• A través del consentimiento explícito del interesado.
• Para proteger el interés vital del interesado.
• Cuando sea necesario para el cumplimiento de obligaciones establecidas.
• Si esos datos son públicos y han sido publicados por el interesado.
• Por interés público siempre que sea proporcional al objetivo perseguido.
• Con fines de medicina preventiva.

Principio de minimización e idoneidad del tratamiento

Por otro lado, se deben recoger los datos mínimos y cumplir con el principio de idoneidad y necesidad de la operación biométrica. Es decir, ocurre que no todas las tecnologías de obtención de datos biométricos procesan la misma cantidad de datos personales o llevan a cabo el mismo número de aspectos físicos (datos biométricos) de un interesado. En este sentido, el responsable del tratamiento debe garantizar que sólo se hace uso de los datos biométricos mínimamente necesarios para cumplir con el fin del tratamiento a realizar. Por ejemplo, si la finalidad del tratamiento sólo consiste en identificar el número de personad dentro de una habitación, el nivel de granularidad o detalle de los datos biométricos necesarios deberá ser el mínimo suficiente para este fin, sin embargo, si la finalidad del tratamiento es identificar de forma única a una persona dentro de la habitación, el nivel de detalle deberá ser mayor.

Es muy importante tener esto en cuenta ya que el uso de la multibiometría y/o mayor cantidad de precisión de un dato biométrico sin necesidad, puede derivar e implicar tratamientos de datos personales innecesarios con lo que aumenta el nivel de intrusión que estas operaciones causan en los individuos afectados, además, de no cumplir con el principio de minimización de los datos que enuncia el artículo 25.2 del RGPD.

Con respecto a la idoneidad y necesidad del tratamiento de datos biométricos, el responsable del tratamiento debe evaluar, de forma precisa, si realmente es necesario, porque no exista otra alternativa menos intrusiva para la persona, el tratamiento y uso de los datos biométricos para una finalidad deseada. Para esto, será necesario llevar a cabo un procedimiento de análisis de las distintas opciones disponibles y definir una serie de métricas para poder compararlas, incluida la biometría. Lo importante de esto es que, siempre que exista una alternativa que cumpla con los objetivos y que sea menos intrusiva, debe utilizarse esta opción.

Deber de información

Como con cualquier otro tratamientos de datos de carácter personal, el responsable del tratamiento está en la obligación de indicar a los interesados la información mínima estipulada en los artículos 13 y 14 del RGPD. En concreto, debe informarse de lo siguiente:

• La identidad y los datos de contacto del responsable.
• Los datos de contacto del delegado de protección de datos.
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
• Los destinatarios o las categorías de destinatarios de los datos personales;
• La intención del responsable de transferir datos personales a un tercer país u organización internacional.
• El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
• El derecho a presentar una reclamación ante una autoridad de control.

Consentimiento de los afectados
Para el tratamiento de datos biométricos por parte del responsable del tratamiento, es indispensable que éste recabe el consentimiento explícito de los interesados, indicado claramente la finalidad y/o finalidades de dicho tratamiento. Salvo que hubiera una prohibición legal a nivel europeo o nacional sobre ello.

Además, este consentimiento debe ser libre, específico, informado e inequívoco.

Evaluación de impacto relativa a datos personales (EIPD)

La evaluación de impacto relativa a la protección de datos personales para este tipo de datos es obligatoria para determinar qué riesgos existen con dicho tratamiento y las medidas necesarias que garanticen la protección y confidencialidad de los datos biométricos.

Registro de actividades del tratamiento

El responsable del tratamiento debe incorporar al registro de tratamientos interno, el / los tratamientos que lleve a cabo con datos biométricos. En este registro, al menos, se deberá mantener la siguiente información:

• El nombre y los datos de contacto del responsable y del delegado de protección de datos.
• Los fines del tratamiento.
• Una descripción de las categorías de interesados y de las categorías de datos personales.
• Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
• Las transferencias de datos personales a un tercer país o una organización internacional.
• Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Deber de seguridad

Para proteger de forma adecuada los datos biométricos, el responsable del tratamiento debe implantar de forma proactiva, desde el inicio y por defecto todas aquellas medidas de seguridad necesarias para garantizar la seguridad, privacidad e integridad de dichos datos.
Algunas de estas medidas más comunes pueden ser:

• Actualización y parcheo de dispositivos.
• Gestión del malware.
• Uso de firewalls.
• Cifrado y/o tokenización de datos.
• Política adecuada de copias de seguridad.
• Política de contraseñas.
• Test de penetración y escaneo de vulnerabilidades.
• Escaneo Wireless.
• Gestión de usuario y sesiones.
• Roles y responsabilidades.
• Gestión de perfiles y permisos.
• Gestión y revisión de logs.
• Etc.

Conclusiones

Como resumen, un punto importante que todo Responsable debe tener en cuenta a la hora de decir si usa o no datos biométricos es el de analizar si existe una proporcionalidad para la finalidad deseada con el tratamiento de este tipo de datos. Debiendo de resultar el tratamiento de datos biométricos una parte ineludible y necesaria para conseguir ese preciso fin.

Una vez visto que existe la proporcionalidad adecuada, por otra parte y, de forma imperativa,  se debe recabar el consentimiento expreso de los interesados para el tratamiento de los datos biométricos.

En definitiva y con respecto a la medidas de seguridad y tratamiento de riesgos de este tipo de datos, con el panorama actual en materia de protección de datos personales, el uso de sistemas y datos biométricos requiere, en primer lugar, llevar a cabo de una evaluación de impacto relativa a los datos de carácter personal, derivada de la naturaleza del propio tratamiento que lo convierte en altamente intrusivo, sensible y de alto riesgo para los derechos y libertades de los afectados. Por ello es importante determinar las medidas de seguridad necesarias que permitan minimizar el riesgo lo máximo posible así como el impedir brechas de datos y/o accesos no autorizados a este tipo de información personal.

En muchas ocasiones, llevar a cabo un EIPD, un análisis de proporcionalidad o determinar qué medidas son suficientes para minimizar el riesgo existente puede tornarse complicado, por lo que se recomienda contactar con una empresa especializada que ayude en todos estos procesos.

Referencias

• Dictamen 05/2014 sobre técnicas de anonimización
• https://www.aepd.es/sites/default/files/2019-12/wp216-es.pdf
• Orientaciones y garantías en los procesos de anonimización de datos personales – AEPD
• https://www.aepd.es/sites/default/files/2019-09/guia-orientaciones-procedimientos-anonimizacion.pdf
• Introducción al hash como técnica de seudonimización de datos personales - AEPD
• https://www.aepd.es/sites/default/files/2020-05/estudio-hash-anonimidad.pdf

Autor: Sergio Moreno - CCNA, PCIP, CCSP, CISSP, CDPSE, SFPC, CSFPC, ISO 27001 L.A., PCI QSA, PCI QPA
Dpto. de Consultoría