Roberto Cuesta Calvo - Jue, 23/01/2025 - 10:53
Biometría segura.
Contexto uso Biometría en España
La Guía de la AEPD [1] sobre datos biométricos, publicada el 23 de noviembre de 2023, establece criterios estrictos para el uso de datos biométricos en el control de presencia y acceso, tanto en entornos laborales como no laborales. La Agencia considera que los datos biométricos constituyen categorías especiales de datos de alto riesgo según el Reglamento General de Protección de Datos (RGPD), lo que implica restricciones y medidas de protección estrictas en su tratamiento.
El uso de tecnologías biométricas debe superar un análisis exhaustivo que evalúe su idoneidad, necesidad y proporcionalidad, asegurando que sea la opción menos invasiva para cumplir con los fines propuestos. En este sentido, la AEPD enfatiza que cualquier implementación debe justificarse plenamente desde una perspectiva de protección de datos y derechos fundamentales.
Además, la Agencia se muestra crítica frente al uso generalizado de la biometría, especialmente cuando se emplea como requisito previo para la identificación o el acceso. Advierte sobre los riesgos inherentes de esta tecnología, señalando los desafíos que plantea para garantizar la privacidad y proteger los derechos fundamentales de las personas afectadas.
Informe del CCN [2]
El Centro Criptológico Nacional (CCN) es un organismo español dependiente del Centro Nacional de Inteligencia que tiene como misión garantizar la seguridad de las tecnologías de la información en las administraciones públicas y en sectores estratégicos. En este contexto, el CCN ha publicado el documento sobre tecnologías biométricas para reforzar la seguridad en el control de accesos y alinearlo con las normativas y estándares internacionales.
El CCN no es una autoridad reguladora en materia de protección de datos como la AEPD, pero es una referencia técnica en seguridad y certificación de tecnologías. Su experiencia lo posiciona como un organismo clave para evaluar la fiabilidad de sistemas tecnológicos, incluyendo la biometría, desde una perspectiva técnica y de ciberseguridad.
La publicación de este documento responde a la necesidad de establecer criterios técnicos claros para el uso de la biometría, destacando cómo tecnologías como las plantillas biométricas RBR pueden cumplir con las normativas europeas. Aunque el CCN no regula directamente, su enfoque aporta credibilidad y garantías de seguridad a las tecnologías recomendadas.
Nota técnica del Centro Criptológico Nacional (CCN) sobre biometría segura (noviembre 2024):
El CCN analiza desde un enfoque técnico y legal el uso de la biometría para control de acceso, destacando sus ventajas en seguridad. Principales puntos:
- Definición de biometría: Según ISO 2382-37, se basa en características físicas o de comportamiento únicas para autenticar o verificar identidades.
- Plantillas biométricas RBR: Introduce el concepto de Renewable Biometric References (RBR) como plantillas seguras que cumplen con la normativa de protección de datos (RGPD):
- Irreversibilidad: No permiten reconstruir los datos originales.
- Anónimas y privadas: No contienen datos identificativos explícitos.
- Revocables: Pueden regenerarse en caso de compromiso de seguridad.
- Fiabilidad y rendimiento: Los sistemas modernos alcanzan altos estándares de precisión (tasa de error baja) y protección de privacidad.
- Cumplimiento normativo: Asegura que los sistemas basados en RBR son conformes con el RGPD y el Reglamento Europeo de Inteligencia Artificial (RIA), clasificándolos como de bajo riesgo si son usados con intervención voluntaria y en proximidad.
- Casos de uso: Se destacan aplicaciones seguras en entornos de alta seguridad, como acceso a instalaciones físicas.
Opinión sobre el debate entre la AEPD y el CCN
La posición de la AEPD y la del CCN reflejan dos enfoques complementarios sobre la biometría.
Consideraciones Críticas (AEPD):
- Protección de datos y derechos fundamentales: La AEPD enfatiza que el tratamiento de datos biométricos debe ser una excepción bien justificada. La biometría, aunque efectiva, implica riesgos inherentes para la privacidad, especialmente si los sistemas no implementan protecciones avanzadas.
- Proporcionalidad y necesidad: La crítica al uso generalizado está fundamentada, ya que tecnologías invasivas como la biometría no siempre son indispensables y pueden sustituirse por métodos menos intrusivos.
Perspectiva Técnica y Práctica (CCN):
- Innovaciones técnicas: Las plantillas RBR ofrecen garantías que mitigan los riesgos señalados por la AEPD. Su irreversibilidad y revocabilidad son avances significativos para cumplir con la normativa.
- Ventajas en seguridad: En entornos sensibles, la biometría basada en RBR es superior a los métodos tradicionales (contraseñas o tokens) al garantizar que la identidad sea real y difícil de suplantar.
- Conformidad normativa: El CCN demuestra que la tecnología puede implementarse sin vulnerar la legislación actual, cumpliendo estándares internacionales.
Opinión personal a modo de conclusión
Partiendo de la base que es crucial equilibrar los beneficios de seguridad y conveniencia con los derechos fundamentales, evaluando cuidadosamente la proporcionalidad del tratamiento de estos datos.
La biometría fisiológica, a día de hoy es un mecanismo mediante el cual se resuelve el problema de la suplantación de identidad, debe ser una solución aplicando la misma solo cuando se cumpla estricta y necesariamente con las protecciones avanzadas que requiere la legislación actual.
Basándome en el informe hecho por el CCN creo que la AEPD debiera dar contestación para ver si lo expuesto por el CCN hace que el uso de biometría sea válido en ciertos escenarios hasta ahora prohibidos.
Editor: Universidad Isabel I
ISSN 2792-1794
Burgos, España
Referencias:
[1] AEPD, «Guía sobre tratamientos de control de presencia mediante sistemas biométricos», Agencia española de protección de datos, 2023. [En línea]. Disponible en: https://www.aepd.es/guias/guia-control-presencia-biometrico.pdf
[2] CCN-PYTEC, «Tecnologías biométricas seguras para el control de acceso», Centro Criptológico Nacional, 2024. Accedido: 23 de enero de 2025. [En línea]. Disponible en: https://www.ccn.cni.es/es/docman/documentos-publicos/boletines-pytec/521-ccn-tec-013-tecnologias-biometricas-seguras-para-el-control-de-acceso/file
Añadir nuevo comentario