En los últimos años hemos visto un crecimiento exponencial en el uso de tecnologías de identificación digital. Sistemas de reconocimiento facial, verificación por voz o escaneo de huellas dactilares se están integrando cada vez más en aplicaciones, edificios, eventos o servicios digitales.
A primera vista, estas tecnologías parecen ofrecer ventajas claras: mayor seguridad, procesos más rápidos y una reducción del fraude. Sin embargo, desde el punto de vista jurídico y de la protección de datos, su utilización plantea cuestiones muy relevantes.
La Agencia Española de Protección de Datos sancionó al FC Barcelona con 500.000 euros por una campaña de actualización de datos de socios en la que se utilizaban tecnologías de reconocimiento facial y verificación de voz.
La intención del club era modernizar su sistema de identificación de socios mediante herramientas biométricas que permitieran verificar la identidad de forma más rápida y segura. Desde el punto de vista tecnológico, la idea puede parecer razonable.
El problema aparece cuando analizamos el caso desde el marco jurídico del Reglamento General de Protección de Datos (RGPD).
Los datos biométricos: una categoría especial de datos
El RGPD considera los datos biométricos utilizados para identificar de forma unívoca a una persona como una categoría especial de datos personales, lo que implica el nivel más alto de protección dentro del sistema europeo de privacidad.
Dentro de esta categoría encontramos datos como huella dactilar, reconocimiento facial, patrón de voz, escaneo del iris y geometría de la mano
Todos estos datos tienen una característica común: permiten identificar de manera única a una persona.
Esto implica que su tratamiento está sujeto a restricciones mucho más estrictas que las aplicables a otros datos personales.
Cuando la biometría genera problemas: el caso Worldcoin
Un ejemplo muy llamativo de los riesgos asociados a estas tecnologías lo vimos recientemente con la empresa Worldcoin, que instaló en centros comerciales dispositivos capaces de escanear el iris del ojo de las personas.
A cambio de permitir el escaneo, los usuarios recibían una compensación en criptomonedas que podía equivaler a varias decenas de euros. Miles de personas hicieron cola para participar.
Sin embargo, el iris es uno de los identificadores biométricos más sensibles que existen. Cada iris es único y, a diferencia de otros identificadores, no puede modificarse si se ve comprometido.
Por ese motivo la Agencia Española de Protección de Datos ordenó paralizar esta actividad en España ante posibles vulneraciones del RGPD.
El problema es evidente: no estamos hablando de un simple dato personal, sino de una característica biológica permanente de la persona.
El problema de fondo: los datos biométricos no se pueden cambiar
Aquí aparece una diferencia fundamental con otros sistemas de autenticación.
Si alguien roba una contraseña, se puede cambiar. Si se compromete un PIN, se puede sustituir.
Pero no podemos cambiar nuestra cara, nuestra voz o nuestra huella dactilar.
Esto convierte a los datos biométricos en uno de los activos más sensibles desde el punto de vista de la seguridad y la privacidad.
Por esa razón el RGPD establece una regla general muy clara: el tratamiento de categorías especiales de datos está prohibido, salvo que se cumpla alguna de las excepciones previstas en la normativa y exista una base jurídica sólida que lo justifique.
El principio de proporcionalidad y minimización de datos en protección de datos
La tecnología avanza rápidamente, pero la normativa de protección de datos obliga a plantear siempre una pregunta previa:
¿Es realmente necesario utilizar un dato biométrico para cumplir esa finalidad?
Cuando hablamos de biometría, hablamos de uno de los niveles de riesgo más elevados en materia de privacidad.