Événement
Datos biométricos: ¿por qué es una mala idea vender el iris?
Événement
Con la llegada de la Inteligencia Artificial y la “economía global”, la protección de datos personales ha adquirido una relevancia estratégica para todo tipo de organizaciones públicas y privadas. En este sentido, los datos biométricos (huellas dactilares, reconocimiento facial, patrones del iris…) se han convertido también en herramientas clave en el ámbito de la seguridad de datos. Sin embargo, aunque su uso puede parecer conveniente, ceder estos datos presenta riesgos significativos para la privacidad.
¡Sigue leyendo y descúbrelo todo sobre los datos biométricos!
¿Qué son los datos biométricos?
El Reglamento General de Protección de Datos (RGPD), en su artículo 4, define los datos biométricos:
- “Son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.”
Este tipo de información incluye huellas dactilares, reconocimiento facial, escaneo de retina o iris, rasgos de voz, patrones de marcha… Además, según el artículo 9 del RGPD, los datos biométricos se consideran categorías especiales de datos debido a su carácter sensible, lo que implica restricciones adicionales en su tratamiento.
En suma, un dato biométrico permite identificar inequívocamente a una persona gracias a una característica que no cambia a lo largo de la vida. Es por ello que su tratamiento debe estar estrictamente justificado y seguir el “principio de minimización de datos” (art. 5 del RGPD).
Requisitos legales para el tratamiento de datos biométricos
El tratamiento de datos biométricos requiere un nivel de seguridad RGPD reforzado. En este contexto, resulta esencial comprender las bases jurídicas que permiten su tratamiento, las obligaciones asociadas y la importancia de garantizar la transparencia frente a los interesados.
Base jurídica del tratamiento
El RGPD permite el tratamiento de datos biométricos únicamente en circunstancias muy específicas (artículo 9.2). Por ejemplo:
- Consentimiento explícito. Debe ser otorgado voluntariamente tras ser informado de manera clara y comprensible.
- Interés legítimo. Únicamente tras superar la debida ponderación de intereses.
- Intereses vitales. Solo si es estrictamente necesario para proteger la vida del interesado.
- Obligación legal. En cumplimiento de una normativa específica que se aplique al responsable de tratamiento.
Evaluaciones de Impacto (EIPD)
Según el artículo 35 del RGPD, antes de implementar sistemas que procesen datos biométricos, es obligatorio realizar una Evaluación de Impacto en la Protección de Datos (EIPD). Esta evaluación debe identificar los riesgos potenciales para los derechos y libertades de los interesados, así como medidas para mitigarlos.
Transparencia y derechos de los interesados
Las empresas deben informar claramente sobre:
- La finalidad del tratamiento.
- El período de conservación de los datos.
- Los derechos del usuario (acceso, rectificación, supresión…)
Riesgos de ceder tus datos biométricos
Adquirir conciencia de la importancia capital de nuestros datos personales es esencial para evitar cualquier riesgo al cederlos. Una buena cultura pública de datos evita que vendamos o compartamos nuestra información personal y que, en consecuencia, podamos ser víctimas de ciberataques.
Imposibilidad de revocación
A diferencia de una contraseña o un PIN, los datos biométricos no pueden ser “cambiados” si son comprometidos. Una vez que un tercero obtiene acceso no autorizado a estos datos, la persona afectada no puede regenerar una nueva huella digital o patrón de iris. Esto los convierte en un objetivo atractivo para los ciberdelincuentes.
Riesgo de uso indebido
El EDPB, en sus Directrices 3/2019 sobre el tratamiento de datos personales a través de tecnologías de vídeo, señala que los sistemas basados en reconocimiento facial pueden ser explotados para la vigilancia masiva, lo que socava derechos fundamentales como la privacidad y la libertad de expresión. Además, la AEPD advierte que la recopilación excesiva de datos biométricos puede derivar en usos secundarios no autorizados, como la creación de perfiles.
Transferencias internacionales inseguras
El RGPD regula estrictamente la transferencia de datos personales fuera del Espacio Económico Europeo (EEE). Sin embargo, muchas plataformas que recopilan datos biométricos (por ejemplo, aplicaciones de reconocimiento facial) los almacenan en servidores ubicados en países que no garantizan un nivel de protección adecuado, exponiendo a los usuarios a posibles abusos.
Falta de consentimiento informado
El artículo 7 del RGPD establece que el consentimiento debe ser libre, informado, específico y explícito. En muchos casos, las empresas no explican claramente a los usuarios cómo se utilizarán sus datos biométricos ni los riesgos asociados, incumpliendo este principio fundamental.
Buenas prácticas para proteger tus datos biométricos
Para cualquier ciudadano, y si se está en desacuerdo con el tratamiento, existe el derecho a acceder, rectificar, suprimir, oponerse o limitar el uso de datos personales. Así queda recogido en los artículos 15, 16, 17, 18 y 21 del RGPD.
Aún así, existen una serie de recomendaciones y buenas prácticas para evitar riesgos en los tratamientos de datos biométricos:
- Evita ceder datos biométricos a menos que sea estrictamente necesario. La AEPD recomienda optar por sistemas de autenticación alternativos, como contraseñas robustas o claves de acceso, en lugar de tecnologías biométricas, siempre que sea posible.
- Infórmate sobre cómo serán utilizados y almacenados. Antes de aceptar, solicita información clara sobre el uso, finalidad, responsable, destinatarios y tiempo de conservación. Pide también los datos de contacto del DPO, la base jurídica y averigua si la recogida es masiva y si constituye la principal actividad comercial de la organización.
- Exige garantías legales. Confirma que la organización cumple con el RGPD y las normativas locales, como la LOPDGDD en España. Esto incluye la realización de evaluaciones de impacto y la implementación de cláusulas de seguridad adecuadas.
En cualquier caso, la mejor manera de evitar riesgos innecesarios es adquieriendo un nivel de conciencia adecuado sobre la importancia de nuestros datos personales. Esto se puede conseguir, por ejemplo, a través de la formación o de nuestras mismas acciones cotidianas (proteger nuestros datos de salud, leer las políticas de privacidad, mantenerse actualizado, informar a otros, etc.)
¡Protege tus datos biométricos con Actecil!
Desde 2007, Actecil ha estado a la vanguardia, ofreciendo asesoramiento jurídico y técnico en protección de datos a más de 5.000 empresas publicas y privadas de todo el mundo. Si tienes dudas sobre el uso de datos biométricos, ¡consúltanos y evita sanciones y ciberataques! 👾
Nuestra solución 360º es única en el mercado:
- Consultoría RGPD. Un equipo especializado en protección de datos te dará todas las claves para cumplir eficazmente con las leyes locales e internacionales de protección de datos.
- DPO externo. Un consultor titulado en protección de datos responderá todas tus dudas y te ayudará a cumplir con tus obligaciones.
- Formación. Conviértete en un auténtico especialista en protección de datos con nuestros cursos obligatorios y sensibilizaciones RGPD.
- Software RGPD. Gracias a los últimos softwares del mercado, los datos sensibles que recojas quedarán documentados, serán accesibles y cumplirán la ley.
- E-Assistance. Nuestros expertos estarán ahí cuando más los necesites: gestión de crisis, ciberataques, asesoramiento jurídico… ¡Acompañamiento 100% personalizado!
- Misión internacional. Hablamos más de 10 idiomas y todos nuestros consultores son DPO titulados ante las autoridades europeas.
Actecil es tu aliado para construir una cultura de datos personales conforme a tus objetivos de negocio y a la legislación vigente. ¡Llámanos y cumple ya con el RGPD!
Artículos similares
Événement
