Técnicas biométricas y protección de datos: desmontando falsos mitos

La AEPD ha publicado un listado[1] con los equívocos más comunes relacionados con el uso de la biometría y cómo afectan a la protección de datos

• El documento ha sido desarrollado en colaboración con el Supervisor Europeo de Protección de Datos
• Está dirigido a responsables, encargados o delegados de protección de datos, entre otros, con el objetivo de explicitar las implicaciones de este tipo de tratamientos

El Reglamento General de Protección de Datos (RGPD)[2] define en su artículo 4 los datos biométricos como aquellos «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». Asimismo, cuando los datos biométricos se usan como medio de identificación, el RGPD establece en su artículo 9 que se trata de categorías especiales de datos y prohíbe expresamente su tratamiento dirigido a identificar de manera unívoca a una persona física.

En el citado documento, la Agencia Española de Protección de Datos comienza definiendo y diferenciado dos conceptos a menudo confundidos: identificación y autenticación. Mientras la identificación es «el proceso de reconocer a un individuo particular entre un grupo. Este proceso compara los datos del individuo a identificar con los datos de cada individuo en el grupo», la autenticación constituye «el proceso de probar que es cierta la identidad reclamada por un individuo. Este proceso compara los datos del individuo únicamente con los datos asociados a la identidad reclamada».

Lo cierto es que lejos de parecer algo futurista, las técnicas biométricas están al orden del día. Desde hace tiempo se viene usando las huellas dactilares para diversos usos, tales como el control horario de empleados. Sin embargo, esta técnica se ha venido extendiendo y hemos sido testigos como recientemente ciertos bancos ponían en marcha los primeros cajeros automáticos con tecnología de reconocimiento facial, o como ciertos supermercados han empezado a usar estas técnicas como medida de seguridad para sus centros y trabajadores.

La Agencia reconoce que en paralelo a la reciente popularización del uso de datos biométricos para fines de identificación y autenticación (por ejemplo, huellas dactilares o mediciones faciales) se han extendido una serie de equívocos con relación a esta tecnología y por ello  ha publicado una nota técnica que incluye catorce equívocos relacionados con el uso de la biometría y cómo afectan a la protección de datos.

1º) La información biométrica se almacena en un algoritmo. La información biométrica recogida (por ejemplo, la imagen de una huella dactilar) se procesa siguiendo procedimientos definidos en estándares1 y el resultado de ese proceso se almacena en registros de datos denominados firmas, patrones o “templates”. Estos patrones registran numéricamente las características físicas que permiten diferenciar personas.

2º) El uso de datos biométricos es igual de intrusivo que cualquier otro sistema de identificación/autenticación. A diferencia de una contraseña o un certificado, los datos biométricos recogidos durante un procedimiento de autenticación o identificación revelan más información personal sobre el sujeto.

3º) La identificación/autenticación biométrica es precisa. A diferencia de los procesos basados en contraseñas o certificados, que son 100% precisos (p. ej. una clave puede ser correcta o no serlo), la identificación/autenticación biométrica se basa en probabilidades (p. ej. una huella digitalizada puede proporcionar una correspondencia al 96% con un individuo). En efecto, hace días conocíamos la noticia de un hombre que pasó 30 horas detenido por el error de un algoritmo, el primer caso de un hombre falsamente acusado por el reconocimiento facial.

4º) La identificación/autenticación biométrica es suficientemente precisa para diferenciar siempre entre dos personas.  El parecido biométrico entre hermanos o familiares ha confundido a sistemas biométricos. En particular, la identidad de patrones biométricos para la identificación de hermanos gemelos más allá del reconocimiento facial es un campo de estudio.

5º) La identificación/autenticación biométrica es adecuada para todas las personas. La Agencia entiende que algunas personas no pueden utilizar determinados tipos de biometría porque sus características físicas no son reconocidas por el sistema. Es el caso de lesiones, accidentes, problemas de salud (como por ejemplo parálisis).

6º) El proceso de identificación/autenticación biométrica no se puede burlar. Lo cierto es que existen procedimientos y técnicas que permiten burlar sistemas de autenticación biométrica y asumir la identidad de otra persona.

7º) La información biométrica no está expuesta. A diferencia de los procesos basados en contraseñas o certificados, la mayor parte de características biométricas de una persona están expuestas y se pueden capturar a distancia, ya que no se oculta habitualmente el rostro, las huellas, la forma de moverse, la huella térmica, etc.

8º) Todo tratamiento biométrico implica identificación/autenticación. En realidad, no es necesariamente así. Por ejemplo, el tratamiento biométrico del movimiento del ratón utilizado para determinar si un robot está accediendo a una página web implica tratar la información biométrica para diferenciar humano de máquina.

9º) Los sistemas de identificación/autenticación biométrica son más seguros para los usuarios. Para nada, como se exponía anteriormente, cualquiera de los múltiples sistemas en los que nuestros datos biométricos estén siendo procesados puede sufrir una brecha de seguridad.

10º) La autenticación biométrica es fuerte. Por definición, utilizar sólo biometría es un proceso de autenticación débil, mientras que utilizar una tarjeta de acceso y contraseña es fuerte. Aunque la autenticación biométrica muchas veces exige un proceso previo de registro o identificación (por ejemplo, en el reconocimiento facial hay que comparar con la foto del DNI), si después del proceso de identificación la autenticación es sólo es biométrica, sigue siendo un sistema débil.

11º) La identificación/autenticación biométrica es más cómoda para el usuario. Esta afirmación depende de la tecnología empleada y de las circunstancias, percepción

12º) La información biométrica convertida a un hash no es recuperable. Hay estudios que demuestran que el hash puede ser reversible, es decir, cabría obtener el patrón biométrico original, sobre todo si se vulnera el secreto de la clave utilizada para generar el hash.

13º) La información biométrica almacenada no permite reconstruir la información biométrica original de la que se ha extraído. La información biométrica almacenada (p. ej. el patrón) permite reconstruir parcialmente la información biométrica original (p. ej. la cara).

14º) La información biométrica no es interoperable. Todo lo contrario: los sistemas de tratamiento de información biométrica se desarrollan siguiendo estándares para garantizar su interoperabilidad.

[1] Agencia Española de Protección de Datos (Madrid, junio 2020). 14 equívocos con relación a la identificación y autenticación biométrica.

[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)