Seleccionar página

Biometría, privacidad y protección de datos biométricos. GDPR y AEPD

por | Tecnología, Verificación de Identidad

El tratamiento, protección y regulación de los datos biométricos es esencial para garantizar la privacidad y protección de los usuarios. Por eso es importante que entiendas qué hay que tener en cuenta para cumplir con el RGPD (Reglamento General de Protección de Datos) siguiendo las directrices de la AEPD (Agencia Española de Protección de Datos) en el contexto de la biometría moderna.

Y es que en el apasionante universo de la biometría las cosas han cambiado mucho en los últimos 15 años. Antes, se trataba de comparar puntos de tu cara, ¡sí, como una especie de mapa facial! Pero hoy en día, estamos en la era de las redes neuronales, esos algoritmos inteligentes que nos ayudan a crear vectores biométricos que serán los que comparemos con otros vectores para reconocer a las personas. Suena a un poco a ciencia ficción, ¿verdad?

Pero para tu tranquilidad, estos vectores son irreversibles y no se llevan bien con otras tecnologías, lo que significa que tus datos biométricos están a salvo. No importa si los pierdes o te los roban, no podrán recuperar tu rostro a partir de ellos. Y lo mejor es que lo hacemos cumpliendo al pie de la letra con la GDPR y la AEPD.

¿Te preguntas cómo funciona todo esto de la privacidad y protección de datos dentro de un proyecto que use la biometría? Pues es un viaje que comienza con la concepción y el diseño de la propia tecnología. Así que, ponte cómodo, porque estamos a punto de sumergirnos en una historia de datos, personas, privacidad y tecnología. ¿Quién da más?

 

Tratamiento de los datos biométricos: evolución de la biometría

En sus inicios, las tecnologías y algoritmos de reconocimiento biométrico se basaban en la comparación de puntos faciales. Básicamente se generaba un matriz que analizaba distintos puntos de la cara y la distancia entre ellos. Cuantos más puntos se analizaban, más robustos eran los algoritmos. De hecho, una pregunta que siempre nos hacían los clientes en la primera reunión era: y vuestra tecnología, ¿cuántos puntos de la cara es capaz de analizar?

En la actualidad, los algoritmos biométricos que se utilizan para reconocer a las personas están basados en IA, más concretamente se utilizan sistemas de aprendizaje profundo (redes neuronales) que generan vectores o templates biométricos que además no son reversibles.

 

 

 

 

Los algoritmos de aprendizaje profundo han revolucionado el campo de la biometría permitiendo que haga su magia, mientras que los patrones biométricos no reversibles hacen que los sistemas sean mucho más robustos y seguros.

A pesar de ello, las tecnologías de reconocimiento biométrico siguen estando en el punto de mira de la AEPD, ya que no paran de salir a la palestra proyectos en distintos ámbitos o sectores que son tumbados o reciben sanciones por parte de la AEPD.

Y es que gran parte de la mala prensa que tiene la biometría como mecanismo de verificación de identidad dentro de los organismos regulatorios, parte de cómo funcionaba la tecnología hace años, cuando la vulnerabilidad de las muestras biométricas parecía más comprometida de lo que ocurre en la actualidad con el cambio de paradigma hacia las redes neuronales.

Nosotros sin ir más lejos, tras más de 14 años en el mercado, hemos vivido esa evolución y en la actualidad nuestras tecnologías de reconocimiento facial y de biometría de voz están basadas en inteligencia artificial.

Sin embargo, a pesar del recelo por parte de la AEPD hacia proyectos de biometría, la protección de datos biométricos de los usuarios es esencial para nosotros, máxime en la situación actual, en la que existe una sensibilización global en cuanto a la privacidad de los datos personales. Cumplir con la RGPD y la AEPD es un requisito fundamental para garantizar la privacidad de los usuarios y en Mobbeel abogamos por un desarrollo responsable de la tecnología biométrica que respete los derechos y la privacidad de las personas.

Vectores irreversibles y que no funcionan con otros proveedores

Es de vital importancia considerar la privacidad desde el primer instante en el que se empieza diseñar la tecnología, la fiabilidad y proporcionalidad de la solución, minimizando la retención de datos.

Los vectores biométricos actuales son irreversibles y no interoperables entre proveedores, lo que asegura la privacidad y evita la exposición de datos biométricos.

Dicho de otra manera: en un hipotético supuesto de que perdiésemos o nos robasen nuestras plantillas biométricas, no se comprometería nuestra privacidad ya que de un vector final no se puede realizar una ingeniería inversa para obtener la fotografía de la cara que originó ese vector biométrico.

Además, los motores biométricos de un proveedor no son compatibles con los de otro proveedor, con lo que no se pueden utilizar esas plantillas en otros sistemas biométricos diferentes ni para otros usos.

No obstante, a pesar de la seguridad que aportan los nuevos sistemas de biometría basados en algoritmos de aprendizaje profundo, hay que tratar tanto los vectores biométricos, como la información de los usuarios, de forma acorde a lo que indican la GDPR y a la AEPD.

 

Evaluación de impacto según la AEPD

Que la biometría ha llegado para quedarse es un hecho. Utilizamos datos biométricos para muchas cosas, como comprobar que estamos vivos, identificarnos, verificar quiénes somos, rastrearnos, crear perfiles de nosotros y tomar decisiones automáticas, entre otras cosas. Procesos que van desde los más sencillos y cotidianos como desbloquear un teléfono móvil, hasta los que entrañan más riesgo como autorizar pagos y transacciones.

Por ello, cuando usamos datos biométricos en un proceso específico, la intrusión en la privacidad de las personas y su impacto pueden variar. Esto depende de la técnica que se utilice, pero también de cómo definimos el proceso, de su naturaleza, de dónde y cuándo ocurre, del contexto y, sobre todo, de lo que queremos lograr.

Por lo tanto, para entender cómo afectan estas operaciones biométricas, debemos evaluarlas en el contexto del proceso en el que se utilizan y considerar sus objetivos finales.

Algunos métodos para trabajar con biometría requieren la colaboración de las personas, mientras que otros pueden capturar datos biométricos a distancia sin que las personas se den cuenta, como ocurre con las cámaras de videovigilancia.

Por este motivo, todas las técnicas biométricas deben evaluarse en función de si son apropiadas, proporcionales y necesarias, pensando en su propósito y en cómo afectan los derechos y libertades de las personas, así como en los riesgos que conllevan, tanto para las personas como para la sociedad.

Existen diferentes formas de clasificar los sistemas biométricos, como aquellas basadas en tecnologías diferentes, dispositivos o rasgos estudiados. Sin embargo, cuando se trata de demostrar que un proceso cumple con el Reglamento General de Protección de Datos (RGPD) y evaluar los riesgos para los derechos y libertades de las personas debido al procesamiento de datos, es importante utilizar criterios de clasificación de las operaciones biométricas desde la perspectiva de la protección de datos y su relación con el proceso en el que se aplican.

Algunos criterios recomendados por la AEPD a tener en cuenta para tipificar el tipo de operación biométrica en el marco de un tratamiento son:

  • Propósito de las operaciones con datos biométricos con relación a la finalidad del tratamiento.
  • Marco legal.
  • Ámbito o alcance del tratamiento.
  • Intervención humana cualificada con relación al resultado biométrico.
  • Tratamiento de categorías especiales de datos.
  • Transparencia de la operación biométrica.
  • Libre opción del sujeto de los datos a la operación biométrica.
  • Adecuación de la operación biométrica.
  • Datos mínimos a capturar.
  • Idoneidad y necesidad de la operación biométrica.
  • Grado de control del usuario.
  • Efectos colaterales implícitos en la operación biométrica.
  • Brechas de datos personales.
  • Implementación.
  • Contexto del tratamiento.

Para garantizar que las técnicas biométricas sean apropiadas desde el inicio, como lo requiere el RGPD, debemos seguir las recomendaciones de la Guía de Privacidad desde el Diseño. Esto implica analizar factores para asegurar el cumplimiento de las reglas y evaluar si el proceso es necesario y proporcionado, lo que facilita la gestión de riesgos.

Dado que las operaciones biométricas plantean desafíos especiales, es probable que muchos procesos requieran una evaluación de impacto según el RGPD. En algunos casos, se podría necesitar una consulta previa según lo estipulado en el artículo 36 del RGPD.

 

Cumplimiento con la GDPR y AEPD por parte de Mobbeel

Comencemos por el principio: Mobbeel cumple con la GDPR y somos muy escrupulosos a la hora de seguir las políticas de privacidad. En el siguiente enlace tenéis acceso a nuestra política de privacidad y si aún te quedan dudas, podemos ponerte en contacto con nuestro Delegado de Protección de Datos.

A pesar de ello, vamos a examinar los aspectos más importantes a tener en cuenta para que un proyecto de biometría cumpla con la GDPR y la AEPD al tratar estos datos y garantizar la protección de la privacidad. Para esto, hay que ser muy escrupuloso con el cumplimiento de la LOPD.

  • El flujo de datos se gestiona en servidores en Europa, y Mobbeel actúa como encargado del tratamiento de datos, cumpliendo con los acuerdos de retención de datos y el consentimiento informado.
  • Con respecto a la política de retención de datos, no somos custodios de la tecnología sino que tenemos la figura del encargado del tratamiento de los datos. El sistema está configurado para eliminar de forma automática toda la información personal de los procesos de onboarding (imágenes, fotos e información extraída de los documentos) segundos después de haber realizado el proceso. Este periodo de borrado se puede establecer de manera conjunta con el cliente con el objetivo de poder revisar la información del registro en caso necesario.
  • Tiene que haber un consentimiento voluntario del usuario y además se le tiene que permitir tener un mecanismo alternativo para poder autenticarse a la hora de realizar un proceso de reconocimiento biométrico. Además, la clave no está sólo en el consentimiento voluntario que hace un usuario, sino también en que sea un consentimiento informado, es decir, el usuario ha de ser consciente de la finalidad y de las implicaciones del uso de la tecnología biométrica en el proceso que vaya a realizar.
  • Proporcionalidad del sistema: los sistemas de reconocimiento biométrico que se utilicen han de ser sistemas individuales orientados a grabar e identificar a una única persona. Resaltamos esto en contraposición a otros sistemas son sistemas de vigilancia que graban de manera indiscriminada a todos los usuarios utilizando tecnologías de reconocimiento facial. Las agencias de protección de datos europeas no permiten los proyectos que utilizan cámaras de grabación con un uso desproporcionado para el fin con que se utiliza el sistema, ya que afecta derechos fundamentales de los usuarios grabados ajemos a la finalidad del proyecto. Básicamente sería como «matar pájaros a cañonazos».
  • En cuanto a los procesos de alta u Onbarding Digital, en los que además de la biometría se captura un documento de identidad, cogemos datos del DNI y del Selfie para validar la identidad de la persona que realiza el Onboarding para asegurarnos que no hay un fraude. Con esos datos se hace una validación y a continuación se eliminan de forma inmediata. Después se guardaría el vector biométrico irreversible y un identificador de usuario asociado a ese vector que es completamente anónimo y aleatorio.

 

Medidas de seguridad, certificaciones y evaluaciones

Si hay una certificación imprescindible para garantizar la seguridad de la información es la ISO 27.001, que es un estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información.

En ese sentido, Mobbeel está certificada en la norma ISO27001 en «Sistema de gestión de seguridad de la información que da soporte a las actividades de desarrollo, implantación y soporte de las soluciones de verificación de identidad digital de Mobbeel, tanto en modalidad Software como Servicio (SaaS) como en instalaciones en cliente (on premise), según la Declaración de Aplicabilidad de 13/03/2023«.

Igualmente, toda la información almacenada por nuestros productos en la nube usan los mecanismos de encriptación proporcionados por los sistemas de almacenamiento utilizados, tanto a nivel de ficheros como bases de datos o copias de seguridad.

Así mismo nuestra solución de onboarding digital ha sido homologada e incluida en el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC), lo que ratifica que cumple con los más altos requisitos de seguridad exigidos por el Centro Criptológico Nacional (CCN).

Las pruebas realizadas para ser incluidos en el catálogo incluyen tanto falsificaciones sobre los documentos de identidad como ataques en la parte de reconocimiento facial (pantallas, videos, máscaras hiperrealistas, maquillaje profesional, deepfakes, etc.). Todas estas pruebas las detalla el CCN en la Instrucción Técnica IT-14 para la certificación del Módulo de Evaluación Biométrica (MEB).

 

Precisión, Fiabilidad y Sesgo

Los motores biométricos entrenados con modelos de inteligencia artificial aprenden a reconocer las caras con mayor precisión y con menos sesgos que los que tiene el ser humano (por ejemplo a los caucásicos nos cuesta diferenciar a los asiáticos y viceversa), con lo que hemos de partir de la premisa de que la tecnología aporta más fiabilidad a procesos de identificación que la revisión a través de personas.

El NIST (National Institute of Standards and Technology) es una agencia gubernamental de los EEUU que se encarga de evaluar la eficacia y precisión de los algoritmos de reconocimiento facial, así como de promover la prevención de los sesgos raciales, de edad y género.

 

NIST National Institute of Standards and Technology

 

De hecho, las distintas tecnologías biométricas evaluadas por el NIST, se evalúan con bases de datos equilibradas en cuanto a géneros, razas y edades para analizar la eficacia y seguridad de los algoritmos biométricos.

Los algoritmos de reconocimiento facial de Mobbeel se someten de manera frecuente al  FRVT.

Nuestra evaluación por el NIST muestra unos resultados que suponen que nuestro sistema está ajustado para que sólo permitiendo un falso positivo (aceptar a una persona incorrecta) por cada millón de intentos, menos de uno de cada cien procesos de reconocimiento facial tendrían que repetirse por el rechazo de un usuario genuino.

Nueva guía de la AEPD sobre tratamientos de control de presencia mediante sistemas biométricos

La guía de la Agencia Española de Protección de Datos (AEPD) de noviembre de 2023 aborda el uso de sistemas biométricos para el control de presencia, alineándose con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Podemos resaltar los siguientes aspectos:

  • La guía fija los criterios de uso de tecnología biométrica tanto con fines laborales como no laborales.
  • Se especifica además que la utilización de datos biométricos supone un tratamiento de categorías especiales de datos de alto riesgo.
  • Por ello el Reglamento General de Protección de Datos impone límites estrictos para el tratamiento de categorías especiales de datos, y la superación del análisis de idoneidad, necesidad y proporcionalidad.

Anatomía de la guía sobre control de presencia con biometría.

Veamos a continuación las definiciones y puntos tratados en la nueva guía de la AEPD:

Evolución Rápida de Sistemas Biométricos: La guía señala que los sistemas biométricos están avanzando rápidamente, permitiendo la recopilación de datos más detallados, a veces sin la cooperación o conocimiento de la persona involucrada. El uso de inteligencia artificial (IA) puede inferir información adicional, incluyendo categorías de datos sensibles.

Procesamiento de Datos Biométricos: Los sistemas biométricos procesan datos personales relacionados con características físicas, fisiológicas o conductuales de personas, lo que incluye, según desarrollos recientes, características neuronales. Estos datos permiten la identificación, seguimiento o perfilado de individuos.

Datos Personales y Biométricos: El RGPD define los datos personales como cualquier información sobre una persona física identificada o identificable. Los datos biométricos, como imágenes faciales, son considerados datos personales cuando permiten la identificación o autenticación de una persona.

Finalidades del Control de Presencia: Este tratamiento puede tener distintas finalidades, como el registro de jornada en el contexto laboral o el control de acceso a recintos. Estos tratamientos deben cumplir con los principios, derechos y obligaciones del RGPD, y la implementación de sistemas biométricos requiere consideraciones adicionales para el cumplimiento de esta normativa.

Principio de Minimización de Datos: El RGPD establece que los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. La finalidad de un tratamiento de control de presencia no es tratar datos biométricos, sino cumplir con objetivos específicos, por lo que los datos recopilados deben limitarse a lo estrictamente necesario.

Definición de Tratamiento en RGPD: El tratamiento incluye cualquier operación realizada sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, conservación, adaptación, modificación, consulta, utilización, comunicación, etc.

Identificación y Autenticación Biométricas: Estos procesos están definidos en la normativa europea eIDAS, siendo la identificación un proceso de reconocimiento de un individuo dentro de un grupo, mientras que la autenticación es la verificación de la identidad reclamada de un individuo.

Datos Biométricos entran dentro de las Categorías Especiales: El RGPD prohíbe en general el tratamiento de datos personales que revelen categorías especiales de datos personales, que incluyen datos biométricos utilizados para la identificación unívoca de una persona.

Excepciones a la Prohibición de Tratar Categorías Especiales: Solo se pueden tratar estos datos bajo circunstancias específicas enumeradas en el RGPD. No incluyen el interés legítimo, la ejecución de un contrato o medidas precontractuales.

Justificación para Uso de Operaciones Biométricas: Las entidades deben justificar por qué no pueden seguir utilizando sistemas de registro de presencia no biométricos o por qué otras opciones tecnológicas no son adecuadas. Además, deben considerar que un tratamiento de datos personales puede incluir intervención humana, ofreciendo alternativas a los sistemas exclusivamente tecnológicos.

La AEPD considera que las plantillas biométricas, independientemente de que no sean reversibles, nos identifican de manera inequívoca al igual que nuestro DNI; si bien es cierto que un DNI me identifica en cualquier proceso, ante cualquier organismo y en cualquier lugar del planeta, mientras que la plantilla biométrica deja de ser válida fuera del contexto de un proyecto específico y con un proveedor de biometría concreto. 

Por lo tanto, las plantillas biométricas pasan a ser datos de categoría especial con lo que para proyectos de control de presencia es necesario realizar una evaluación de impacto para estudiar la idoneidad, la necesidad y la proporcionalidad del proyecto así como su justificación.

Conclusión

La revolución tecnológica que ha supuesto el uso de la biometría para procesos de identificación ha llevado a la necesidad de regulaciones sólidas que protejan la privacidad de los usuarios. En este contexto, el RGPD y la AEPD son pilares fundamentales que aseguran la protección de la privacidad.

A lo largo de este artículo, hemos explorado la evolución de la biometría, desde puntos faciales hasta vectores biométricos no reversibles, mientras cumplimos con regulaciones estrictas. Hemos demostrado cómo se manejan los datos, considerando la proporcionalidad y minimizando la retención de información. Además, hemos subrayado la importancia de la precisión y la fiabilidad, abordando el sesgo. Finalmente, las certificaciones y evaluaciones respaldan la seguridad de esta tecnología. 

Por todo ello, hemos de ver la biometría y la protección de datos como aliados inseparables en lugar de enemigos irreconciliables y para nosotros el respeto por la privacidad de las personas es innegociable.

 

Escríbenos si quieres implantar un sistema de verificación que cumpla con el RGPD y las directrices marcadas por la AEPD y vele por la protección de los datos biométricos de tus clientes.

DOSIER PRODUCTO

Descubre nuestra solución de autenticación biométrica

Identifica a tus clientes mediante su cara o su voz,  rasgos únicos e intransferibles, utilizando reconocimiento facial o biometría de voz.