Saltar al contenido.

El dato biométrico en el Reglamento de Protección de Datos, Francia y España

Con la aprobación del Nuevo Reglamento de Protección de Datos se ha introducido de manera explícita el dato biométrico como dato de categoría especial o de nivel alto. El artículo 4 del Reglamento lo define como los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

¿Qué es el dato biométrico?

La biometría consiste en el reconocimiento de personas a través de sus características biológicas, como el reconocimiento facial, las huellas dactilares, la morfología del iris, el reconocimiento del patrón de venas, el contorno de la mano, etc. En su origen la biometría es el estudio de los seres vivos, pero en el contexto de los datos de carácter personal nos interesa la biometría informática que consiste en la identificación de una persona mediante sus características biofísicas o de comportamiento.

Este dato de carácter personal ha visto incrementada su utilización en los últimos años, tanto en el ámbito privado como en el público. Como es habitual la legislación siempre va unos pasos por detrás de la tecnología y no se produce una regulación hasta que no empiezan a consolidarse las aplicaciones prácticas. Es muy difícil prever cual será el escenario futuro de una tecnología y con ello poder tomar a priori medidas garantistas. Su inclusión como dato de especial protección se debe a las consecuencias que pueden derivar de un mal uso del mismo, atentando contra derechos fundamentales de la persona y su privacidad. La biometría es una característica propia de cada individuo que en principio es inmutable a lo largo del tiempo por lo que no va a cambiar ni se va alterar, aunque esto no es del todo cierto. Estas características varían a lo largo de los años y además, en determinadas circunstancias pueden verse modificadas o incluso desaparecer, por ejemplo por lesiones. Por lo tanto, la biometría debe cumplir una serie de requisitos como son la universalidad, la unicidad, la permanencia y la colectividad para poder ser utilizada con la máxima fiabilidad. La universalidad es el hecho de que todos los seres humanos puedan ser identificados en base a estos criterios, dejando al margen las excepciones individuales que pueden surgir. La unicidad permite que el elemento biométrico sea lo suficientemente discriminante como para permitir la identificación de una persona entre muchas otras, digamos entre todos los habitantes del planeta. De estas dos características se deriva la de resistencia al fraude o a la usurpación, debiendo ser estas dos características suficientemente discriminantes y fiables en su aplicación práctica. La permanencia es la capacidad de mantener esta característica por encima de restricciones naturales inherentes al ser humano. Y por último, la colectividad que debe de ser una característica que pueda extraerse de forma matemática y ser mensurable cuantitativamente. En la práctica no siempre se dan todos estos requisitos a la vez, es por ello que lo que se busca es una tasa de fiabilidad lo más alta posible.

¿Cómo funciona la identificación biométrica?

En primer lugar deben registrarse los datos que serán almacenados para su uso posterior, bien en una base de datos o bien en un dispositivo. A continuación se realiza el procedimiento de correspondencia, en el que se comparan los datos almacenados con una nueva muestra para identificar (uno-a-varios) o verificar (uno-a-uno) la identidad de una persona. La diferencia entre la identificación y la autentificación es bastante clara desde un punto de vista teórico. Sin embargo, en la práctica se puede plantear un problema de legitimidad con la creación de una base de datos que permita la identificación directamente.

La trazabilidad es uno de los conceptos de la tecnología biométrica con él que deberemos familiarizarnos, distinguiendo entre biometría trazable y no trazable. Es importante tener en cuenta si el dato biométrico, como dato personal, puede ser recuperable o si puede permitir la identificación de su titular; si estas dos circunstancias tienen lugar, el riesgo de utilización de estos datos sería aún más elevado. Las huellas dactilares son un dato trazable porque se quedan marcadas en todo lo que tocamos, pudiendo ser recuperadas y utilizadas. Además, si las huellas se consiguen obtener de una base de datos en la que no se hayan almacenado con la suficiente seguridad, estas podrían ser recreadas. En cambio, hay otras tecnologías biométricas sobre las cuales es prácticamente imposible obtener estas trazas, como por ejemplo el iris. Esta trazabilidad hay que ponerla en relación con los diferentes soportes de almacenamiento del dato biométrico. Un soporte individual, que solo posee el individuo (USB, tarjeta…), o una base de datos, ya sea un soporte no conectado a ninguna red o un servidor en el que se almacenen los datos personales incluidos los biométricos. Cuando tenemos nuestros datos biométricos almacenados en un soporte individual, tenemos el control exclusivo sobre nuestros datos personales. La comparación entre el dato biométrico corporal y el almacenado en el soporte individual permite realizar la autentificación del poseedor del soporte individual. Cuando nuestros datos biométricos están almacenados en una base de datos o en un soporte, ambos descentralizados, debemos distinguir el supuesto de que haya o no datos biográficos asociados. Si no existe esta asociación, al comparar la huella dactilar del cuerpo con la almacenada, se produce una autentificación aunque no podríamos saber a quién pertenece este dato. En caso contrario, lo que se produce es una identificación a partir de los datos biométricos, ya que en la base de datos se almacenan los datos biográficos asociados a los biométricos o bien por interconexión entre bases de datos centralizadas. El principal riesgo de crear bases de datos identificativas es que perdemos toda propiedad sobre nuestros datos biométricos, que no son sustituibles. Esto tiene especial incidencia cuando estos datos almacenados son trazables, como es el caso de las huellas dactilares, pues se puede recuperar fácilmente y mediante la intrusión en bases de datos se podría relacionar identidad y huella dactilar. La creación de estos mecanismos de identificación está provocando mucho debate jurídico en cuanto a si es lícito o no.

Regulación del dato biométrico

Si bien el dato biométrico se ha incluido en el nuevo Reglamento de Protección de Datos, debemos saber que este ya se consideraba como dato de carácter personal desde el año 2008, cuando el Tribunal Europeo de Derechos Humanos (TEDH) en el párrafo 86 de la sentencia Marper c. Reino Unido, de 4 de diciembre, afirmó que las huellas dactilares formaban parte de los datos de carácter personal.

En el nuevo reglamento se incluye el dato biométrico como una categoría especial de dato personal, quedando prohibido su tratamiento salvo cuando por ejemplo:

–  exista consentimiento del interesado u otra ley Comunitaria o de un Estado Miembro no permita este consentimiento

– su tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social

– el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

Regulación Nacional

El apartado 4 del mismo artículo permite a los Estados Miembros introducir condiciones o limitaciones con respecto al tratamiento de datos biométricos. Así por ejemplo en España no tenemos regulación específica sobre estos datos, pero si que tenemos algunos informes que nos dejan ver el criterio que ha seguido la Agencia Española de Protección de Datos.

Esta ha sentado su criterio teniendo como referencia los principios recogidos en el art. 6 de la Directiva 95/46. Los datos deberán ser proporcionales a la finalidad determinada, explícita y legítima que se persigue y, además, deberán ser tratados de manera leal y lícita, siendo adecuados, pertinentes, no excesivos, exactos y actualizados y conservados durante el periodo necesario para los fines que fueron recogidos.

La AEPD se ha pronunciado en varios casos sobre la utilización de la huella dactilar. En su informe 368/2006, sobre el control de la estancia de alumnos en un centro escolar, considera desproporcionada la utilización de la huella dactilar, poniendo como ejemplo la doctrina de la CNIL (su homónimo francés). En el mismo informe, la AEPD considera la biometría como una técnica de recopilación de datos personales y los define como “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris, la voz, etc.”. En otro caso de utilización de la huella dactilar para prestar un servicio comercial a clientes, denegó su utilización por desproporcionado, entendiendo que “dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de tarjetas de fidelización”.

Los dos informes precedentes fueron negativos para permitir el uso de la biometría. Sin embargo, en el informe 0324/2009, relativo al de control de acceso de los trabajadores en cumplimiento de su horario laboral, permitió instalar un control mediante huella dactilar argumentando que era proporcional al fin perseguido y que el dato biométrico no permitiría la identificación del individuo.

En cambio si vemos la regulación en Francia, la CNIL ya regulaba desde 2004 los datos biométricos. La CNIL subordina la creación de ficheros con datos biométricos a una declaración o a una autorización administrativa. La CNIL trata, individualmente, en función de la finalidad perseguida, los casos en los que se necesitará declaración o petición de autorización para el contorno de la mano, la huella digital y la red venosa de la mano. Así, bastará declaración para el reconocimiento del contorno de la mano para acceder a lugares de trabajo y comedores, de la huella dactilar, guardada en un soporte individual, para controlar el acceso a lugares de trabajo y a ordenadores portátiles profesionales y de la red venosa de la mano para acceder a locales profesionales. Para el resto de utilizaciones de estas tecnologías será necesaria una autorización de la CNIL que exigirá mayores medidas de seguridad, cuando exista un riesgo de trazabilidad y no sea proporcional a la finalidad buscada. El resto de tecnologías biométricas, como el reconocimiento facial, del iris, de la voz, etc., se someterán siempre a autorización previa de la CNIL por el tipo de datos almacenados o por la finalidad específica perseguida. Su uso podría suponer la limitación de un derecho de la persona o la interconexión de ficheros en base a intereses públicos y únicamente se podría justificar en caso de una necesidad de especial seguridad. Más específicamente, la CNIL estudiará estas peticiones de autorización en base a 4 principios: i) la finalidad del dispositivo para zonas de especial seguridad con acceso limitado de personas (ej. Centrales nucleares), ii) la proporcionalidad entre la finalidad y los riesgos en materia de protección de datos y vida privada, iii) la seguridad en cuanto a la protección de los datos biométricos y iv) la información de las personas implicadas.

Usos públicos y privados de la biometría

En algunas ocasiones estamos obligados a proporcionar este dato a las autoridades, por ejemplo a nivel Europeo, para el pasaporte es necesario facilitar nuestra huella dactilar, que se puede incorporar a los Sistemas de Información que sirven para el control de circulación de personas y la seguridad (SIS II, VIS, Eurodac, Smart Borders o PNR). También se están empezando a ver usos para la realización de actos administrativos, como identificación para procesos electorales. En este caso debemos confiar en la ciberseguridad de los Sistemas de Información Europeos.

A nivel privado, se puede utilizar para la realización de transacciones comerciales en medios virtuales y como garante de la identificación en accesos privados, en accesos a comedores escolares, gimnasios, centros de trabajo para el control de asistencia. Pero ha comenzado a implantarse a gran escala en sistemas de desbloqueo Android e IOS, los cuales se ha demostrado que pueden ser pirateados con gran facilidad, logrando robar las huellas dactilares. También se ha demostrado que a partir de una fotografía de la huella dactilar, ésta puede replicarse.

El riesgo es que se produzca el cruce indiscriminado de datos o interconexión entre bases de datos, que pueda provocar la asociación de los datos biométricos con nuestros datos biográficos, creando un perfil cada vez más exacto sobre nosotros. Un análisis de los componentes biométricos podría dar lugar incluso al descubrimiento de enfermedades o alteraciones del cuerpo humano.

Aunque a nivel Institucional no podemos influir en los datos biométricos que facilitamos, si que podemos ser más cautos en utilizaciones privadas de los mismos. Esta prudencia debe ser adoptada desde la óptica: i) del individuo como usuario final de estos sistemas, ya sea en controles de acceso, relaciones laborales o utilización privada de seguridad, como dispositivos móviles o electrónicos, advirtiéndoles de los riesgos que pueden surgir de una mala utilización de estos datos biométricos y ii) de los que implantan los sistemas de reconocimiento privados, prestando especial atención al proveedor de estos servicios, asegurándose que ofrece las garantías necesarias, y al soporte de almacenamiento de los datos, recomendándose un soporte individual por usuario, permitiéndose incluso que el soporte de almacenamiento fuese el mismo aparato lector, del que no salieran esos datos, pero nunca un servidor centralizado.

Si ya hemos visto como las autoridades encargadas de velar por nuestros derechos están preocupadas por cómo se utilizan nuestros datos biométricos, el usuario final debería ser aún más consciente de la utilización de la biometría, puesto que como dato personal, a él le corresponde velar por su conservación e integridad. Debemos saber quién queremos que trate nuestros datos biométricos. Se debe adoptar una actitud de privacy by default, creando una cultura de privacidad en la que desde el principio se construyan unas bases sólidas para asegurar la adecuada protección de estos datos..

Debemos ser conscientes de que la biometría está avanzando a gran ritmo, y cuando se desarrollen suficientemente técnicas no trazables, que sean lo bastante garantistas y no excesivamente invasivas, como el reconocimiento del iris, dará lugar a tratamientos de datos biométricos masivos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s