Empleo de datos biométricos: Evaluación desde la perspectiva de protección de datos

El RGPD tiene como objeto la adecuación de tratamientos. Las tecnologías empleadas en el tratamiento forman parte de la naturaleza del mismo y el tratamiento se define por sus fines, que tienen que ser determinados, explícitos y legítimos.

Las tecnologías biométricas no son tratamientos en sí mismos, sino un medio para llevar a cabo operaciones dentro de un tratamiento, que tendrá un fin último bien definido.

Una (o más) tecnología biométrica puede emplearse en el marco de un tratamiento para cumplir implementar distintas finalidades en el mismo:

• Detección de seres humanos
• Detección de un rostro u otra particularidad anatómica
• Evaluación de modelos y comportamientos
• Perfilado, clasificación y toma de decisiones
• Autenticación
• Identificación
• Seguimiento de individuos

El orden mostrado anteriormente podría clasificarse de operaciones de menos a más intrusivas o con más impacto en los derechos de los sujetos.

El marco legal de las operaciones biométricas dependerá de la normativa de protección de datos, normativa específica sobre biometría y también la normativa sectorial que es aplicable al responsable y al tratamiento concreto.

Esto puede implicar habilitaciones o limitaciones al uso de operaciones biométricas, también obligaciones adicionales (por ejemplo, podrían obligar a realizar una Evaluación de Impacto en la Protección de Datos, EIPD), así como a la validez legal de sus resultados.

Cuanto mayor sea el ámbito del tratamiento en el que se incluya la operación biométrica, con relación al número de sujetos afectados, el volumen de parámetros biométricos utilizados, la extensión geográfica, la duración en el tiempo del tratamiento, la frecuencia de recogida de información biométrica o el periodo de conservación de los datos, entre otros, mayor será el impacto que pueda tener sobre los individuos.

En particular, hay que tener en cuenta la extensión con relación a las categorías de los sujetos afectados, atendiendo a la tipología de los interesados, por ejemplo, cuando se aplica a colectivos vulnerables (menores, ancianos, enfermos, migrantes, refugiados, etc.), teniendo en cuenta la posibilidad de que puedan oponerse a la operación biométrica y que esta sea adecuada.

La intervención humana cualificada es una garantía adicional para la resolución de problemas con relación a la operación biométrica, así como para la identificación inmediata de sesgos.

Además, determinadas características biométricas permiten una detección más sencilla por un humano de ataques de exposición (como el reconocimiento facial) que otras, por ejemplo, el iris, en el que es más difícil reconocer una manipulación.

Por otro lado, si el tratamiento tiene como consecuencias efectos jurídicos en el interesado o le afecta significativamente y el resultado de la operación biométrica, el art.22 del RGPD establece prohibiciones y garantías adicionales, entre ellas la posible intervención humana cualificada.

De esta forma, el grado de implicación humana cualificada en la operación biométrica disminuye alguno de los riesgos inherentes en esta operación.

Algunas técnicas biométricas podrían realizar o realizan el tratamiento de categorías especiales de datos más allá de su posible implicación en procesos de identificación y autenticación.

En ese caso se tendrá que determinar una causa para levantar la prohibición para cada una de las categorías de datos especiales de las referidas en el artículo 9 del RGPD, sobre la que se pretenda realizar una operación de tratamiento. Si no hay una causa que permita el levantamiento de la prohibición que establece el artículo 9.1 del RGPD para cada una de las categorías objeto de tratamiento; el tratamiento no solo será intrusivo, sino que estará prohibido.

La captura de datos para su proceso biométrico en un tratamiento se puede realizar entre dos situaciones extremas:

• La toma de los datos se realiza de forma consciente por el individuo, e incluso exige de este una acción positiva para iniciar el procesamiento de datos biométricos.
• O, en el otro extremo, el individuo no es consciente de que se está tomando información biométrica, ni qué tipo de datos, ni cuándo, ni requiriendo ninguna acción positiva por parte del mismo.

El último caso es el que supone una mayor intrusión en su privacidad del individuo.

El tratamiento puede estar diseñado para que la operación biométrica sea una opción que el sujeto de los datos puede elegir de forma libre, específica, informada e inequívoca. En particular, si el sometimiento a una operación biométrica exige la realización de una acción positiva y consciente del interesado.

En la medida que dichas condiciones no se cumplan de forma real, el tratamiento será más y más intrusivo.

La técnica biométrica empleada en el tratamiento ha de cumplir con los parámetros de rendimiento adecuados al contexto en el que se despliega el tratamiento.

La precisión asociada a relativos rasgos biométricos o técnicas varias, así como el rendimiento de distintas implementaciones y las peculiaridades de cada contexto. Esto último se tiene que evaluar a lo largo de la vida del tratamiento, especialmente antes de desplegarse, disponiendo de las necesarias pruebas, auditorías y/o certificaciones en el contexto concreto del tratamiento siempre que la biometría implementada permita cumplir con el fin del tratamiento.

En la medida que una falta de exactitud de los datos obtenidos con relación a la operación biométrica como sesgos en los perfilados, identificaciones incorrectas, suplantación de identidad, discriminación en segmentos de población (mayores, discapacitados, tipos raciales, enfermos, …), denegación de acceso a servicios por errores en la captación del dato, etc.; mayor será la intrusión que provoca la operación en los derechos de los sujetos.

No todas las tecnologías biométricas, ni todas las implementaciones concretas de una tecnología, procesan la misma cantidad de datos personales o realizan el procesamiento del mismo número de aspectos físicos del interesado.

En ese sentido, hay que adecuar la operación biométrica al fin del tratamiento. Por ejemplo, si este es solo determinar que existe un humano o encontrar una cara cualquiera, no es necesario utilizar una operación biométrica con tanta granularidad que permita la identificación (que sea capaz de distinguir entre dos caras o dos humanos).

Algunas técnicas, según cómo se implementen, pueden revelar información del sujeto (por ejemplo, el estado emocional, raza, salud, etc.) que va más allá del propósito del tratamiento.

El uso de multibiometría, que pretende mejorar la precisión, puede implicar tomar datos adicionales excesivos sobre las personas en contra del principio de minimización que exige el artículo 25.2 del RGPD.

Finalmente, algunos tratamientos combinan datos biométricos con otro tipo de datos personales, pudiendo resultar una recopilación excesiva de datos con relación al fin del tratamiento.

Para conseguir el fin de un tratamiento se pueden utilizar distintos medios, y la biometría puede ser uno de ellos.

Es preciso evaluar si realmente es necesario utilizar operaciones biométricas para alcanzar los fines del mismo y no se pueden emplear otros medios menos intrusivos. Para ello, es necesario que estén definidas métricas sobre los objetivos de rendimiento necesarios en el tratamiento y realizar un análisis objetivo sobre la adecuación de las distintas opciones, incluida la biométrica, a dichos objetivos.

De forma simplificada, un proceso biométrico puede implicar la recogida de una característica física (por ejemplo, la cara), su proceso con una máquina de análisis biométrico, y su almacenamiento o comparación con patrón biométrico ya almacenado.

Si los dos últimos los realiza el responsable (o terceros) tendríamos la configuración con menor control del usuario. Otra situación podría darse si el patrón biométrico está almacenado por el usuario (por ejemplo, en una tarjeta), y solo el proceso de análisis de la característica contra el patrón es realizado fuera del control del usuario. La forma menos intrusiva aparece cuando los tres elementos son controlados por el usuario (por ejemplo, match-on-card) y la salida al responsable o terceros es únicamente un sí o un no a dicha correspondencia.

La realidad de la tecnología es que cada día aparecen nuevas formas, tecnológicas o de ingeniería social, de generar vulnerabilidades.

En el marco del tratamiento donde se encuentra la operación biométrica hay que plantear escenarios de brechas, y determinar el impacto que una brecha de datos personales derivados del uso de técnicas biométricas puede ocasionar en los derechos y libertades de los interesados.

Estas pueden provocar el filtrado o pérdidas de patrones biométricos, suplantación de patrones almacenados, intrusión en el sistema de análisis biométrico y sus resultados, by-pass de la comunicación entre subsistemas, ataques de denegación de servicio, discontinuidad de servicios de terceros, etc. Todos los escenarios hay que analizarlos independientemente de la probabilidad estimada de su materialización y midiendo el grado de intrusión que puede ocasionar en los derechos y libertades.
Asimismo, hay que conocer la realidad de qué brechas ya se están produciendo y que podrían determinar la falta de adecuación de una técnica biométrica o biometría en general. Esto supone el realizar una evaluación continua del tratamiento en función de los eventos que se estén produciendo.