El tratamiento de datos biométricos, su potencial y sus riesgos desde la privacidad
La biometría es la toma de medidas y estudio de uno o varios rasgos físicos y/o conductuales de seres vivos para su reconocimiento inequívoco. Para obtener este reconocimiento inequívoco, se hace uso de técnicas matemáticas que, en el caso de las personas, se aplican a aspectos como las huellas dactilares, la retina, las medidas faciales, pero también a aspectos conductuales como movimientos corporales, la voz o el seguimiento de la mirada. Es mucha la información que se puede obtener, tanto directa como indirectamente, de la biometría. Información que, ya sea por su naturaleza como por establecerlo así la normativa expresamente, es considerada personal y cae dentro del ámbito de aplicación del Reglamento General de Protección de Datos (en adelante, RGPD).
Los elementos clave de los datos biométricos, en atención a lo establecido por el RGPD, son: i) el tratamiento de características físicas, fisiológicas o conductuales; ii) que permitan o confirmen la identificación única de la persona. Este segundo elemento es de especial importancia en la medida que incluye una distinción que ha llevado a dudas y discrepancias en relación a la clasificación de este tipo de datos entre las distintas autoridades de supervisión en materia de protección de datos europeas. Se trata de la distinción entre la “identificación” y la “confirmación de la identificación” de una persona, hablándose más comúnmente de “identificación” (los datos biométricos de una persona son comparados con los de una base de datos de otras personas, haciendo una comparación uno-varios) y “autenticación” de una persona (los datos biométricos se comparan con los de uno mismo, almacenados previamente, haciendo una comparación uno-uno).
El debate está servido en el momento en que algunas autoridades de protección de datos, entre ellas la Agencia Española de Protección de Datos (AEPD), consideran que solo en el caso de los datos biométricos para la identificación (uno-varios) estamos ante datos especialmente protegidos, tal y como se definen en el artículo 9 del RGPD, y no así en el caso de los datos biométricos para la autenticación de la persona. Este criterio no es compartido por todos y, sin ir más lejos, el Comité Europeo de Protección de Datos (CEPD) publicó en mayo de este mismo año las Directrices 05/2022 sobre el uso de técnicas de reconocimiento facial en el ámbito de la aplicación de la ley, en el que contradice la interpretación de la AEPD. En concreto, el CEPD considera que en ambos casos ha de considerarse la existencia de un tratamiento de datos especialmente protegido: “While both functions – authentication and identification – are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore constitute a processing of personal data, and more specifically a processing of special categories of personal data.”
Como puede verse, tanto por lo que respecta a su definición y clasificación, como por lo que respecta a la tecnología que permite el uso de estos datos, se trata de una categoría de datos cuya delimitación no ha culminado, aun siendo ello de especial importancia teniendo en cuenta las grandes perspectivas de su aplicabilidad en un futuro no tan lejano. En relación a esta perspectiva, precisamente, la Information Commissioner’s Office (ICO), autoridad de protección de datos del Reino Unido, acaba de publicar dos informes que analizan el tratamiento de los datos biométricos desde dos puntos de vista: presente y futuro. En estos informes se hace un análisis tanto de los usos más importantes de los datos biométricos actualmente, como los usos que se esperan en un futuro.
Esta identificación de los usos de los datos biométricos es interesante para, en el día a día, ser capaces de identificar cuándo estamos ante un tratamiento de esta categoría de datos. En este sentido, la ICO identifica, entre otros:
-El reconocimiento facial para la verificación de la identidad, mediante la comparación de fotografías. Por ejemplo, en el ámbito de las empresas financieras o en aeropuertos.
-El reconocimiento por voz como sustituto de las contraseñas en los controles de acceso seguro a distintas plataformas.
-Reconocimiento por huella dactilar, por ejemplo, en la entrada de determinadas instalaciones. Esto puede llevarse a cabo bien para garantizar la seguridad de los bienes y de las personas, bien para controlar el conteo de horas de acceso.
-El uso de wearables relacionados con la métrica de datos fitness, como el reconocimiento de las pisadas, la quema de calorías o el rendimiento de la actividad física, el índice metabólico basal, entre otros.
-El reconocimiento de los patrones en la pulsación de teclados.
Por otro lado, respecto a la aproximación a los usos futuros de la tecnología biométrica, la ICO resalta:
-El uso de la biometría para asegurar las transacciones seguras en línea, por parte de bancos y por parte del comercio electrónico en general, mediante las autenticaciones de doble factor o en el control de acceso a aplicaciones bancarias.
-El enorme crecimiento del sector eHealth para el control de la salud mediante las tecnologías de la información.
-La biometría en el ámbito laboral para analizar candidaturas y capacitación del personal.
-La biometría en el ámbito educativo y académico, mediante el uso de métodos de control de exámenes en línea o el uso de sistemas de control de acceso a los centros educativos y universitarios, y a aulas virtuales.
-En el entretenimiento inmersivo, en entornos digitales como es el caso del metaverso y experiencias realidad virtual y realidad aumentada.
Además de lanzar una mirada crítica a la tecnología biométrica y los riesgos que puede implicar, en general, desde el punto de vista de la protección de los datos personales, la ICO expresa su preocupación concreta sobre el tratamiento de los datos biométricos para el análisis de emociones, por la gravedad de las consecuencias que puede tener y que van desde la inexactitud de los datos, la aplicación de sesgos en la toma de decisiones, hasta posibles discriminaciones. En definitiva, cuando se trata del tratamiento de datos biométricos es necesario tener en cuenta el alto riesgo existente derivado de lo prematuro de la tecnología, de la interpretación de regulación y de sus consecuencias que, además, no pueden ser mitigadas al ser características inherentes a la persona física.
Sara Hervías Costa, Privacy Counsel, Legal Army