La Agencia Española de Protección de datos en colaboración con el Supervisor Europeo de Protección de Datos, ha elaborado un informe destinado a los encargados de tratamiento de datos, los DPO y los responsables del tratamiento de datos, con el fin de explicarles los usos correctos de la información biométrica y sacar a la luz los errores más comunes en tratamiento de este tipo de datos personales.

¿Qué son los datos biométricos?

Según la definición contenida en el RGPD en su artículo 4 “los datos biométricos son los obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

¿Los datos biométricos se engloban en la categoría de “Datos Especialmente Protegidos”?

Según el artículo 9.1 del RGPD, “cuando los datos biométricos se usan como medio de identificación, deberán considerarse como categorías especiales de datos” y además quedará prohibido dicho tratamiento siempre que se utilice para identificar de manera unívoca a una persona física, entendiendo la identificación como el proceso de reconocer a un individuo particular entre un grupo, comparando entre los datos de un grupo los datos específicos del individuo a identificar.

¿Cuáles son los equívocos más comunes en el uso de la identificación y autenticación a partir de Datos Biométricos?

1.            La información biométrica se almacena en un algoritmo

Los datos biométricos se procesan siguiendo unos protocolos, por ejemplo la huella dactilar, se procesa siguiendo procedimientos definidos y el resultado se almacena en firmas, patrones o “templates”. Estos patrones registran numéricamente las características físicas que permiten diferenciar personas. Por otro lado, para algunos tratamientos existen soluciones con técnicas de Machine Learning que contienen, en la propia aplicación y accesibles, parte de los datos biométricos utilizados para su desarrollo.

2.            El uso de datos biométricos es igual de intrusivo otros

En ningún caso. Los datos biométricos revelan más información personal sobre el sujeto que otros métodos: se puede conocer su raza, su género, su estado emocional, enfermedades, discapacidades, características genéticas, consumos de sustancias... dependiendo del método de recogida y al estar implícita, el usuario no puede oponerse a la recogida complementaria de dicha información.

3.            La Precisión del Método Biométrico

Este método se basa en probabilidades por lo que no se trata del método más efectivo si queremos tener un 100% de precisión como podríamos obtener del uso de por ejemplo un certificado digital. 

No se trata del método de autenticación más fuerte.

4.            Es aplicable a todos los individuos

Una lesión o un problema de salud, impediría a una persona utilizar ciertos métodos biométricos, provocando una discriminación hacia ese individuo.

5.            Diferenciación fiable de las personas

Ya hemos hablado que no existe una precisión al 100% de este método, por ejemplo el parecido entre familiares provoca que se produzcan errores en los reconocimientos del individuo.

6.            Este método es inviolable

A través por ejemplo de sencillas herramientas como máscaras o reproductores de huella se puede asumir la identidad de otra persona y engañar al sistema biométrico.

Los datos biométricos se encuentran continuamente expuestos por lo que es posible que se realicen capturas de ellos para burlar el sistema.

7.            Es el método más seguro

No se trata de un método que se encuentre libre de sufrir una brecha de seguridad. En este tipo de método una vez que la información biométrica ha sido comprometida, esta no se puede cancelar.

8.            Si se guarda la información biométrica en un hash no es recuperable

El Hash es un método de encriptación que elimina el patrón biométrico, pero es posible deshacer esta conversión, ya que para la generación del Hash es necesaria una clave y si se consigue es posible obtener la información original.

9.            Siempre hay que identificar o autenticar

No es necesario realizarlo en todos los sistemas, hay algunos métodos biométricos utilizados en los que la tecnología hace de intermediario en que no implica una identificación directa, por ejemplo, diferenciar si la persona que envía un formulario es un robot, a través del movimiento del ratón.

10.          Comodidad para los usuarios

Dependerá del propio individuo y su familiarización con estos métodos, no se puede generalizar.

11.          La información biométrica no es interoperable

Al contrario, se desarrollan siguiendo estándares para garantizar su interoperabilidad, pueden hacerse interoperables compartiendo las claves utilizadas en el proceso de creación del Hash.

12.          No es posible reconstruir la información biométrica original

Será posible recuperar en ciertos casos la información original, aunque sea solo parcialmente.