Datos biométricos: trátalos como si fueran tuyos

La recopilación de datos biométricos es una práctica cada vez más usual tanto en empresas como en instituciones gubernamentales. Al ser datos personales, su seguridad es primordial, pero ¿cuál es el tratamiento que se les debe dar?

Características de los datos biométricos

De acuerdo con el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), los datos biométricos son las propiedades físicas, fisiológicas y de comportamiento de cada persona, por ejemplo:

• La huella digital.
• El rostro.
• La retina.
• El iris.
• La forma de las orejas.
• El ADN.
• La composición química del olor corporal.
• El tono de voz.
• La escritura a mano.

Para identificarlos se utilizan sistemas que analizan parámetros derivados de la medición directa de una característica específica. Ejemplo de ello es el reconocimiento facial, en el que se mide la distancia entre los ojos, el ángulo de la mandíbula y la longitud de la nariz.

<< ¿IA viola los derechos de los ciudadanos? >>

Además, los datos biométricos son únicos y permanentes, por lo que pueden ser utilizados para crear mejores protocolos de seguridad. De ahí el interés por desarrollar tecnologías capaces de medirlos.

De hecho, los sistemas biométricos permiten reconocer a los usuarios de un servicio público o privado. Y dicho reconocimiento implica comparar datos de manera automatizada —con algoritmos de machine learning.

Protección de los datos biométricos

En México los datos personales están protegidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Ambas leyes mencionan que sólo se puede acceder a los datos biométricos de una persona a partir de:

• Su consentimiento expreso.
• Una orden judicial.
• Fuentes de acceso público.
• Una emergencia que ponga en riesgo la vida o los bienes de alguien.

Vulnerabilidad de los datos biométricos

En la actualidad lo que está en duda es el resguardo, uso e interpretación de los datos biométricos. Aunque existen leyes al respecto, no han evitado que en ocasiones se le dé un uso pernicioso a estos datos.

Por ejemplo, en algunos casos quienes almacenan los datos personales no han tenido el cuidado suficiente para evitar su filtración y venta en internet, lo que sin duda vulnera la privacidad de las personas.

En ese sentido, es preocupante la reforma que aprobó el Senado mexicano para crear un padrón de datos biométricos de los usuarios de telefonía móvil. De hecho, el INAI se manifestó en contra y promovió una acción de inconstitucionalidad ante la Suprema Corte de Justicia de la Nación.

También cabe mencionar que desde 2020 la Comisión Nacional Bancaria y de Valores (CNBV) exige a los bancos capturar la huella dactilar de sus usuarios, a fin de evitar la suplantación de identidad en las transacciones.

Estos casos muestran que, si bien la normativa vigente dicta que el tratamiento de datos personales está sujeto al consentimiento del usuario, autoridades y empresas deben darle un tratamiento más ético y responsable a esta información.

Tratamiento de los datos biométricos

En teoría, los usuarios no están obligados a proporcionar sus datos biométricos; sin embargo, a veces la prestación de un servicio está condicionado a ello, tal como sucede con la banca en línea.

Por ende, tanto la iniciativa privada como los gobiernos tienen que garantizar la seguridad de los datos biométricos. Y para ello pueden empezar siguiendo estas recomendaciones para su tratamiento (basadas en la guía sobre el tema del INAI):

• Principio de licitud. Conocer a fondo la normatividad: en qué términos se pueden recopilar, almacenar y usar los datos biométricos.
• Principio de lealtad. Utilizar medios legales y legítimos para obtener los datos biométricos, así como verificar que en el aviso de privacidad se señale de manera explícita la finalidad de su recopilación.
• Principio de información. Comunicar como actualización al aviso de privacidad cuando se requieran transferencias de datos biométricos.
• Principio de consentimiento. Solicitar el consentimiento tácito de los titulares cuando los datos biométricos no son sensibles; por el contrario, cuando los datos son sensibles, el consentimiento de los titulares tiene que ser por escrito.
• Principio de finalidad. Justificar la petición de los datos biométricos y asegurar que no se usen para finalidades distintas a las establecidas en un inicio.
• Principio de proporcionalidad. Priorizar los datos no biométricos y, en caso de ser muy necesarios, usarlos sin exceso y de manera adecuada.
• Principio de calidad. Los datos biométricos deben ser exactos, completos, pertinentes y actualizados.
• Principio de responsabilidad. Mitigar los riesgos en la implementación y el uso de tecnologías para el tratamiento de los datos biométricos, además de instrumentar procesos para garantizar su confidencialidad.

¿En tu empresa recopilan datos biométricos? ¿Qué protocolos de seguridad utilizan para resguardarlos? Como usuario, ¿te has sentido vulnerado al tener que brindar alguno de tus datos biométricos?

Comenta en el espacio de abajo y suscríbete a mi blog para conocer más sobre cómputo cognitivo para empresas, además de otros temas de innovación y tecnología científica aplicada a los negocios.