Empleo de datos biométricos: Evaluación desde la perspectiva de protección de datos

Foto de teguhjati pras en Pixabay

Los tratamientos que incluyen operaciones con datos biométricos se pueden emplear con muchas finalidades: prueba de vida, identificación, autenticación, seguimiento, perfilado, decisiones automáticas, etc. Las operaciones biométricas pueden emplear distintas técnicas, algunas de forma simultánea, y, a su vez, una misma técnica se puede implementar de formas diferentes. Las operaciones con datos biométricos en un tratamiento concreto tendrán un grado distinto de intrusión e impacto en la privacidad de los individuos que dependerá de la técnica empleada, pero también de la propia definición del tratamiento, su naturaleza, el ámbito o alcance en el que se va a desarrollar, su contexto y, en especial, los fines que se persiguen. Por lo tanto, la evaluación de impacto de las operaciones biométricas se ha de realizar en el marco de un tratamiento y con relación a sus fines últimos.

Las técnicas de proceso de datos biométricos se basan en recoger y procesar rasgos físicos, conductuales, fisiológicos o neuronales de las personas mediante dispositivos o sensores, creando firmas o patrones que posibilitan la identificación, seguimiento o perfilado de las personas. Algunos métodos requieren la cooperación de la persona, mientras que otros métodos pueden capturar datos biométricos a distancia, sin requerir la cooperación del individuo y sin que pueda tener conciencia de ello.

En el marco de un tratamiento, cualquiera de las distintas técnicas biométricas que se incluyan tienen que ser evaluadas de acuerdo con la adecuación, proporcionalidad y la necesidad, su finalidad, su el impacto en los derechos y libertades de las personas físicas y los riesgos que conllevan, tanto para el individuo como para la sociedad.

Existen distintos criterios de clasificación de los sistemas biométricos: algunos basados en el uso de tecnologías diferentes, otros relacionados con los dispositivos o sensores, otros con relación al rasgo o conjuntos de rasgos estudiados, etc. Sin embargo, a la hora de demostrar la adecuación de un tratamiento al Reglamento General de Protección de Datos (RGPD), y de evaluar el riesgo para los derechos y libertades de los individuos que puede suponer el procesamiento de dichos datos, es conveniente emplear criterios de clasificación de las operaciones biométricas desde el punto de vista de protección de datos y con relación al tratamiento en el que se implementa.

A continuación, se señalan de forma no exhaustiva algunos de los criterios que pueden ser útiles para tipificar las operaciones biométricas en el marco de un tratamiento:

Propósito de las operaciones con datos biométricos con relación a la finalidad del tratamiento

El RGPD tiene como objeto la adecuación de tratamientos. Las tecnologías empleadas en el tratamiento forman parte de la naturaleza del mismo y el tratamiento se define por sus fines, que tienen que ser determinados, explícitos y legítimos.

Las tecnologías biométricas no son tratamientos en sí mismos, sino un medio para llevar a cabo operaciones dentro de un tratamiento, que tendrá un fin último bien definido.

Una (o más) tecnología biométrica puede emplearse en el marco de un tratamiento para cumplir implementar distintas finalidades en el mismo:

  • Detección de seres humanos
  • Detección de un rostro u otra particularidad anatómica
  • Evaluación de modelos y comportamientos
  • Perfilado, clasificación y toma de decisiones
  • Autenticación
  • Identificación
  • Seguimiento de individuos

El orden mostrado anteriormente podría clasificarse de operaciones de menos a más intrusivas o con más impacto en los derechos de los sujetos.

Marco legal

El marco legal de las operaciones biométricas dependerá de la normativa de protección de datos, normativa específica sobre biometría y también la normativa sectorial que es aplicable al responsable y al tratamiento concreto.

Esto puede implicar habilitaciones o limitaciones al uso de operaciones biométricas, también obligaciones adicionales (por ejemplo, podrían obligar a realizar una Evaluación de Impacto en la Protección de Datos, EIPD), así como a la validez legal de sus resultados.

Ámbito o alcance del tratamiento

Cuanto mayor sea el ámbito del tratamiento en el que se incluya la operación biométrica, con relación al número de sujetos afectados, el volumen de parámetros biométricos utilizados, la extensión geográfica, la duración en el tiempo del tratamiento, la frecuencia de recogida de información biométrica o el periodo de conservación de los datos, entre otros, mayor será el impacto que pueda tener sobre los individuos.

En particular, hay que tener en cuenta la extensión con relación a las categorías de los sujetos afectados, atendiendo a la tipología de los interesados, por ejemplo, cuando se aplica a colectivos vulnerables (menores, ancianos, enfermos, migrantes, refugiados, etc.), teniendo en cuenta la posibilidad de que puedan oponerse a la operación biométrica y que esta sea adecuada.

Intervención humana cualificada con relación al resultado biométrico

La intervención humana cualificada es una garantía adicional para la resolución de problemas con relación a la operación biométrica, así como para la identificación inmediata de sesgos.

Además, determinadas características biométricas permiten una detección más sencilla por un humano de ataques de exposición (como el reconocimiento facial) que otras, por ejemplo, el iris, en el que es más difícil reconocer una manipulación.

Por otro lado, si el tratamiento tiene como consecuencias efectos jurídicos en el interesado o le afecta significativamente y el resultado de la operación biométrica, el art.22 del RGPD establece prohibiciones y garantías adicionales, entre ellas la posible intervención humana cualificada.

De esta forma, el grado de implicación humana cualificada en la operación biométrica disminuye alguno de los riesgos inherentes en esta operación.

Tratamiento de categorías especiales de datos

Algunas técnicas biométricas podrían realizar o realizan el tratamiento de categorías especiales de datos más allá de su posible implicación en procesos de identificación y autenticación.

En ese caso se tendrá que determinar una causa para levantar la prohibición para cada una de las categorías de datos especiales de las referidas en el artículo 9 del RGPD, sobre la que se pretenda realizar una operación de tratamiento. Si no hay una causa que permita el levantamiento de la prohibición que establece el artículo 9.1 del RGPD para cada una de las categorías objeto de tratamiento; el tratamiento no solo será intrusivo, sino que estará prohibido.

Transparencia de la operación biométrica

La captura de datos para su proceso biométrico en un tratamiento se puede realizar entre dos situaciones extremas:

  • La toma de los datos se realiza de forma consciente por el individuo, e incluso exige de este una acción positiva para iniciar el procesamiento de datos biométricos.
  • O, en el otro extremo, el individuo no es consciente de que se está tomando información biométrica, ni qué tipo de datos, ni cuándo, ni requiriendo ninguna acción positiva por parte del mismo.

El último caso es el que supone una mayor intrusión en su privacidad del individuo.

Libre opción del sujeto de los datos a la operación biométrica

El tratamiento puede estar diseñado para que la operación biométrica sea una opción que el sujeto de los datos puede elegir de forma libre, específica, informada e inequívoca. En particular, si el sometimiento a una operación biométrica exige la realización de una acción positiva y consciente del interesado.

En la medida que dichas condiciones no se cumplan de forma real, el tratamiento será más y más intrusivo.

Adecuación de la operación biométrica

La técnica biométrica empleada en el tratamiento ha de cumplir con los parámetros de rendimiento adecuados al contexto en el que se despliega el tratamiento.

La precisión asociada a relativos rasgos biométricos o técnicas varias, así como el rendimiento de distintas implementaciones y las peculiaridades de cada contexto. Esto último se tiene que evaluar a lo largo de la vida del tratamiento, especialmente antes de desplegarse, disponiendo de las necesarias pruebas, auditorías y/o certificaciones en el contexto concreto del tratamiento siempre que la biometría implementada permita cumplir con el fin del tratamiento.

En la medida que una falta de exactitud de los datos obtenidos con relación a la operación biométrica como sesgos en los perfilados, identificaciones incorrectas, suplantación de identidad, discriminación en segmentos de población (mayores, discapacitados, tipos raciales, enfermos, …), denegación de acceso a servicios por errores en la captación del dato, etc.; mayor será la intrusión que provoca la operación en los derechos de los sujetos.

Datos mínimos

No todas las tecnologías biométricas, ni todas las implementaciones concretas de una tecnología, procesan la misma cantidad de datos personales o realizan el procesamiento del mismo número de aspectos físicos del interesado.

En ese sentido, hay que adecuar la operación biométrica al fin del tratamiento. Por ejemplo, si este es solo determinar que existe un humano o encontrar una cara cualquiera, no es necesario utilizar una operación biométrica con tanta granularidad que permita la identificación (que sea capaz de distinguir entre dos caras o dos humanos).

Algunas técnicas, según cómo se implementen, pueden revelar información del sujeto (por ejemplo, el estado emocional, raza, salud, etc.) que va más allá del propósito del tratamiento.

El uso de multibiometría, que pretende mejorar la precisión, puede implicar tomar datos adicionales excesivos sobre las personas en contra del principio de minimización que exige el artículo 25.2 del RGPD.

Finalmente, algunos tratamientos combinan datos biométricos con otro tipo de datos personales, pudiendo resultar una recopilación excesiva de datos con relación al fin del tratamiento.

Idoneidad y necesidad de la operación biométrica

Para conseguir el fin de un tratamiento se pueden utilizar distintos medios, y la biometría puede ser uno de ellos.

Es preciso evaluar si realmente es necesario utilizar operaciones biométricas para alcanzar los fines del mismo y no se pueden emplear otros medios menos intrusivos. Para ello, es necesario que estén definidas métricas sobre los objetivos de rendimiento necesarios en el tratamiento y realizar un análisis objetivo sobre la adecuación de las distintas opciones, incluida la biométrica, a dichos objetivos.

Grado de control del usuario

De forma simplificada, un proceso biométrico puede implicar la recogida de una característica física (por ejemplo, la cara), su proceso con una máquina de análisis biométrico, y su almacenamiento o comparación con patrón biométrico ya almacenado.

Si los dos últimos los realiza el responsable (o terceros) tendríamos la configuración con menor control del usuario. Otra situación podría darse si el patrón biométrico está almacenado por el usuario (por ejemplo, en una tarjeta), y solo el proceso de análisis de la característica contra el patrón es realizado fuera del control del usuario. La forma menos intrusiva aparece cuando los tres elementos son controlados por el usuario (por ejemplo, match-on-card) y la salida al responsable o terceros es únicamente un sí o un no a dicha correspondencia.

Efectos colaterales implícitos en la operación biométrica En las operaciones biométricas podrían capturarse, inferir y exponer más datos personales de los estrictamente necesarios. Es el caso de técnicas como el proctoring, que expone el entorno íntimo del individuo (p. ej., posters, libros, colgantes, etc.) que revelen convicciones políticas, religiosas o filosóficas. Estos factores pueden generar sesgos o imponer una autocensura en comportamientos legítimos.
Brechas de datos personales

La realidad de la tecnología es que cada día aparecen nuevas formas, tecnológicas o de ingeniería social, de generar vulnerabilidades.

En el marco del tratamiento donde se encuentra la operación biométrica hay que plantear escenarios de brechas, y determinar el impacto que una brecha de datos personales derivados del uso de técnicas biométricas puede ocasionar en los derechos y libertades de los interesados.

Estas pueden provocar el filtrado o pérdidas de patrones biométricos, suplantación de patrones almacenados, intrusión en el sistema de análisis biométrico y sus resultados, by-pass de la comunicación entre subsistemas, ataques de denegación de servicio, discontinuidad de servicios de terceros, etc. Todos los escenarios hay que analizarlos independientemente de la probabilidad estimada de su materialización y midiendo el grado de intrusión que puede ocasionar en los derechos y libertades.
Asimismo, hay que conocer la realidad de qué brechas ya se están produciendo y que podrían determinar la falta de adecuación de una técnica biométrica o biometría en general. Esto supone el realizar una evaluación continua del tratamiento en función de los eventos que se estén produciendo.

Implementación Hay una gran diferencia entre el concepto de operación biométrica y su implementación. La implementación concreta implica selección de sensores, comunicaciones, librerías de desarrollo, dispositivos en los que se integran (por ejemplo, móviles o cajeros automáticos), almacenamiento (por ejemplo, en cloud), etc. Cada uno de ellos, con distintos grados de calidad, certificación, auditoría, seguridad e implicación de terceros. Cuanto menos control tenga el responsable de todos ellos mayor será el riesgo de este tratamiento.
Contexto del tratamiento Con relación a lo anterior, al igual que la operación biométrica se ha de evaluar en el marco del tratamiento, ambos se han de evaluar teniendo en cuenta el contexto social y los efectos colaterales e imprevistos sobre los derechos y libertades que un tratamiento que incorpora operaciones biométricas ha producido o está produciendo en el entorno (desvío de finalidades, impactos sociales, cambios normativos, cambios religiosos o culturales, conflictos, etc).

 

La validación de las técnicas biométricas empleadas en un tratamiento ha de realizarse “desde el diseño” tal y como exige el artículo 25.1 del RGPD y con las recomendaciones que establece en la Guía de Privacidad desde el Diseño. El análisis de estos factores, y otros que puedan ser específicos del tratamiento o de la operación biométrica elegida, permitirán realizar un análisis del cumplimiento normativo, de la necesidad y proporcionalidad del tratamiento permitiendo una gestión del riesgo más adecuada.

Es necesario destacar que, debido a la naturaleza de las operaciones biométricas, hay una gran probabilidad de que los tratamiento que se incluyan requieran una evaluación de impacto, tal como requiere el artículo 35 del RGPD y, en su caso, la consulta previa que prevé el artículo 36 del RGPD. Para ayudar a determinar esta obligación, el responsable puede emplear la herramienta Evalúa Riesgo.

Este post sobre está relacionado con otro material publicado por la AEPD como: