técnicas biométricas

Como hemos señalado en otras ocasiones, las técnicas biométricas están cada vez más presentes en muchos aspectos de nuestra vida cotidiana y, como no podría ser de otro modo, su utilización ha generado una serie de equívocos en torno a las características de esta tecnología.

A la vista de esta situación, la Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica que incluye catorce equívocos relacionados con el uso de la biometría y cómo afectan al ámbito de la protección de datos. Son los siguientes:

  1. La información biométrica se almacena en un algoritmo. En realidad,un algoritmo es un método, un conjunto ordenado de operaciones o una receta y no un medio para almacenar datos biométricos.

  2. El uso de datos biométricos es igual de intrusivo que cualquier otro sistema de identificación/autenticación. En realidad,a diferencia de una contraseña o un certificado, los datos biométricos recogidos durante un procedimiento de autenticación o identificación revelan más información personal sobre el sujeto.

  3. La identificación/autenticación biométrica es precisa. En realidad, a diferencia de los procesos basados en contraseñas o certificados, que son 100% precisos (p. ej. una clave puede ser correcta o no serlo), la identificación/autenticación biométrica se basa en probabilidades (p. ej. una huella digitalizada puede proporcionar una correspondencia al 96% con un individuo).

  4. La identificación/autenticación biométrica es suficientemente precisa para diferenciar siempre entre dos personas. En realidad, está demostrado que el parecido biométrico entre hermanos o familiares ha confundido a sistemas biométricos. En particular, la identidad de patrones biométricos para la identificación de hermanos gemelos más allá del reconocimiento facial es un campo de estudio.

  5. La identificación/autenticación biométrica es adecuada para todas las personas. En realidad, algunas personas no pueden utilizar determinados tipos de biometría porque sus características físicas no son reconocidas por el sistema. Es el caso de lesiones, accidentes, problemas de salud (como por ejemplo parálisis).

  6. El proceso de identificación/autenticación biométrica no se puede burlar. En realidad,existen procedimientos y técnicas que permiten burlar sistemas de autenticación biométrica y asumir la identidad de otra persona.

  7. La información biométrica no está expuesta. En realidad, a diferencia de los procesos basados en contraseñas o certificados, la mayor parte de características biométricas de una persona están expuestas y se pueden capturar a distancia, ya que no se oculta habitualmente el rostro, las huellas, la forma de moverse, la huella térmica, etc.

  8. Todo tratamiento biométrico implica identificación/autenticación. En realidad, no es necesariamente así. Por ejemplo, el tratamiento biométrico del movimiento del ratón utilizado para determinar si un robot está accediendo a una página web implica tratar la información biométrica para diferenciar humano de máquina.

  9. Los sistemas de identificación/autenticación biométrica son más seguros para los usuarios. En realidad, cualquiera de los múltiples sistemas en los que nuestros datos biométricos estén siendo procesados puede sufrir una brecha de seguridad.

  10. La autenticación biométrica es fuerte. En realidad,por definición, utilizar sólo biometría es un proceso de autenticación débil, mientras que utilizar una tarjeta de acceso y contraseña es fuerte. Aunque la autenticación biométrica muchas veces exige un proceso previo de registro o identificación (por ejemplo, en el reconocimiento facial hay que comparar con la foto del DNI), si después del proceso de identificación la autenticación es sólo es biométrica, sigue siendo un sistema débil.

  11. La identificación/autenticación biométrica es más cómoda para el usuario. En realidad, esta afirmación depende de la tecnología empleada y de las circunstancias, percepción

  12. La información biométrica convertida a un hash no es recuperable. En realidad, hay estudios que demuestran que el hash puede ser reversible, es decir, cabría obtener el patrón biométrico original, sobre todo si se vulnera el secreto de la clave utilizada para generar el hash.

  13. La información biométrica almacenada no permite reconstruir la información biométrica original de la que se ha extraído. En realidad,la información biométrica almacenada (p. ej. el patrón) permite reconstruir parcialmente la información biométrica original (p. ej. la cara).

  14. La información biométrica no es interoperable. En realidad, es lo contrario: los sistemas de tratamiento de información biométrica se desarrollan siguiendo estándares para garantizar su interoperabilidad.

Por último, conviene destacar que la nota técnica ha sido desarrollada junto al Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés) en el marco de la colaboración que mantiene la AEPD en el ámbito tecnológico con diversas instituciones nacionales e internacionales.

Autor: Sergi Gálvez

Autores:

Asociado

35 artículos

Asociado del Área de Propiedad Intelectual y Protección de Datos. Especialista en protección de datos y tecnologías disruptivas. Participa en el asesoramiento recurrente en materia de protección de datos y contratación tecnológica de compañías nacionales e internacionales, especialmente en la configuración jurídica de evaluaciones de impacto, transferencias internacionales de datos personales, contratos de encargo de tratamiento y en el asesoramiento durante violaciones de seguridad. Además de prestar asesoramiento continuado a clientes en los ámbitos mencionados, tiene experiencia en asesorar a empresas de diferentes sectores en la configuración legal de proyectos que implementan tecnologías disruptivas, tales como el Big Data, Internet of Things, artificial intelligence y smart robots.

sergi.galvez@cuatrecasas.com