Desde las huellas dactilares al reconocimiento facial, los datos biométricos ayudan a mantener seguros nuestros dispositivos y la información personal más sensible. Pero los datos biométricos no son como otros datos personales, y las consecuencias de su pérdida o uso indebido pueden ser costosas y duraderas.
El uso de datos biométricos se ha disparado en los últimos años. Cada vez utilizamos más nuestros datos biométricos -ya sea una huella dactilar o facial- para desbloquear nuestro teléfono móvil, subir a un avión o iniciar sesión de forma segura en cuentas, aplicaciones y servicios en línea.
En sanidad se utilizan para identificar a los pacientes, mientras que los bancos utilizan la biometría para autenticar a los clientes y combatir el fraude. Las aseguradoras pueden utilizar datos biométricos para incentivar estilos de vida saludables o los minoristas para seguir el comportamiento de los consumidores. Mientras que las fuerzas del orden pueden utilizar el reconocimiento facial y el ADN para prevenir delitos o identificar a delincuentes.
Actualmente, los datos biométricos se dividen en dos campos principales: la biometría fisiológica, como las huellas dactilares, el reconocimiento facial y los escáneres del iris; y la biometría del comportamiento, que capta los patrones de comportamiento únicos de un individuo, como la voz, el movimiento, la forma de andar o las pulsaciones de teclas. Estos marcadores biométricos únicos ofrecen formas más cómodas y seguras de acceder a nuestros datos, redes y espacios físicos más sensibles. Pero la integración de los datos biométricos en los procesos cotidianos no está exenta de desafíos.
Los datos biométricos conllevan riesgos inherentes para la privacidad, ya que implican el manejo de información personal sensible que, en caso de verse comprometida, podría provocar daños irreparables a la privacidad y seguridad de las personas. Una característica importante de los datos biométricos es que son inmutables. A diferencia de una contraseña o un PIN, la huella dactilar o facial de una persona no puede alterarse. Una vez robados, los datos biométricos de una persona podrían utilizarse repetidamente para cometer fraudes, acceder a sistemas y robar dinero o datos valiosos.
Gestión de riesgos mejorada
La naturaleza de los datos biométricos introduce un espectro de riesgos para las organizaciones, desde la violación de datos y el acceso no autorizado hasta el incumplimiento legal y el daño a la reputación. Estos riesgos requieren un enfoque estricto de gestión de riesgos, que incluya controles técnicos, cumplimiento legal y estrategias de respuesta a incidentes.
Las organizaciones deben obtener un consentimiento claro e informado de las personas antes de recopilar datos biométricos, y aplicar medidas de seguridad sólidas para proteger los datos biométricos. También deben revisar y actualizar periódicamente las políticas de privacidad para abordar los datos biométricos y seguir el ritmo de los avances normativos y legales en materia de datos biométricos.
Hay varias medidas específicas que deben tenerse en cuenta para proteger los datos biométricos:
Evolución del panorama normativo
La regulación de los datos biométricos varía según el país. Pero debido a su naturaleza sensible, los datos biométricos suelen estar sujetos a requisitos y controles adicionales en virtud de las leyes de protección de datos y privacidad.
Entre las normativas más destacadas relativas a los datos biométricos se encuentra el Reglamento General de Protección de Datos (RGPD) de la UE. Según el RGPD, los datos biométricos se consideran una "categoría especial" de datos personales, sujetos a condiciones de procesamiento más estrictas, incluida la obtención de consentimiento explícito y la aplicación de medidas sólidas de protección de datos. Además, la inminente Ley de IA de la UE establecería nuevas normas para los datos biométricos, incluida la prohibición de la identificación biométrica en tiempo real con fines policiales, aunque con algunas excepciones, como para la prevención de atentados terroristas.
Sin embargo, el RGPD permite a cada Estado miembro introducir disposiciones adicionales relacionadas con los datos biométricos, mientras que las autoridades nacionales de protección de datos (Francia, Italia y España, por ejemplo) han publicado directrices específicas para el tratamiento de datos biométricos. En Irlanda, la Comisión de Protección de Datos (CPD) aún no ha publicado directrices específicas sobre datos biométricos, aunque ha expresado su opinión sobre los datos biométricos en el marco de unas directrices más amplias sobre protección de datos, mientras que la Oficina del Comisario de Información (OCI) del Reino Unido está elaborando unas directrices específicas.
En particular, la Agencia Española de Protección de Datos (AEPD) publicó en noviembre de 2023 unas directrices que hacen hincapié en los principios de legalidad, consentimiento, limitación de la finalidad, minimización de datos y seguridad en el contexto de los datos biométricos. La guía expone las bases legítimas para el tratamiento de datos biométricos, y recomienda realizar un análisis de riesgos, una evaluación de impacto y una prueba de adecuación, necesidad y proporcionalidad para justificar el uso de sistemas biométricos para el control de acceso.
EE.UU. y el resto del mundo
Fuera de la UE, los países han adoptado diversos enfoques respecto a los datos biométricos, que van desde leyes específicas a una legislación más amplia de protección de datos que abarca los datos biométricos. Varios países han aplicado una legislación similar al GDPR (Brasil) o una legislación de protección de datos específica del país (Canadá, Australia y Nueva Zelanda) que contempla el uso y la protección de los datos biométricos.
EE.UU. ha sido especialmente activo en la regulación de la privacidad de los datos biométricos. Promulgada en 2008, la Ley de Privacidad de la Información Biométrica (Biometric Information Privacy Act, BIPA) es una de las leyes más estrictas específicas de los datos biométricos en EE.UU., y ha sido objeto de demandas judiciales de gran repercusión. Las empresas declaradas responsables de infracciones de la BIPA pueden enfrentarse a importantes sanciones económicas: La BIPA permite una indemnización por daños y perjuicios que oscila entre 1.000 $ por cada infracción negligente y 5.000 $ por infracción imprudente o intencionada.
A falta de leyes federales sobre privacidad, la regulación de los datos biométricos en EE.UU. es estatal. Texas y Washington han promulgado legislación específica sobre privacidad biométrica, mientras que muchos estados incluyen los datos biométricos dentro de las leyes de protección de datos existentes. La Ley de Privacidad del Consumidor de California (CCPA), por ejemplo, cubre el tratamiento de los datos biométricos y exige a las empresas que revelen los fines de la recogida y el uso de los datos.
Cumplimiento normativo y litigios
Las sanciones por infracciones de la protección de datos biométricos y de la privacidad pueden ser graves. Aunque el RGPD no prescribe sanciones más elevadas para las violaciones de datos, permite multas de hasta 20 millones de euros, o el 4% de la facturación anual global de la empresa (lo que sea mayor), por violaciones de la protección o el tratamiento de datos personales, incluidos los datos biométricos.
En los últimos años, las autoridades de protección de datos han adoptado una serie de medidas coercitivas contra empresas por el tratamiento ilegal de datos biométricos, incluidas sanciones económicas. En Europa, la CNIL impuso una multa de 10.000 euros en 2018 a una empresa francesa que utilizaba un dispositivo de control horario biométrico para controlar los horarios de los empleados, mientras que la DPC de Irlanda impuso una multa de 100.000 euros a un proveedor de residencias de ancianos después de que una estafa de phishing comprometiera los datos biométricos de los residentes a través de Internet. La AEPD multó a un gimnasio en España con 50.000 euros por utilizar las huellas dactilares de sus clientes como método de control de acceso, mientras que el regulador holandés de la privacidad multó a un empresario con 725.000 euros en 2022 por procesar ilegalmente datos biométricos.
El panorama jurídico de los datos biométricos también está evolucionando a medida que los tribunales interpretan leyes como la BIPA en EE.UU., sentando precedentes que influyen en futuros litigios y prácticas reguladoras. Un ejemplo notable es el caso Cothron contra White Castle System, que sentó un precedente al afirmar que se produce una violación independiente de la BIPA cada vez que se recogen datos biométricos sin el consentimiento explícito del usuario, lo que multiplica potencialmente las demandas judiciales y los costes asociados. La sentencia fue confirmada recientemente por el Tribunal Supremo de Illinois.
Seguir el ritmo de los avances
El seguro cibernético está diseñado para cubrir los riesgos asociados a la protección de datos, incluidos los datos biométricos. Sin embargo, como área de riesgo, regulación y litigio en evolución, las aseguradoras están prestando especial atención a la exposición de los asegurados a los datos biométricos y a los controles y procesos de gestión de riesgos relacionados.
En EE.UU., la BIPA ha dado lugar a algunas reclamaciones significativas para las aseguradoras, lo que ha llevado a un cierto endurecimiento de las condiciones de cobertura para las empresas con exposición biométrica en EE.UU. En Europa, donde los litigios han sido menos importantes, el seguro de datos biométricos sigue estando sujeto a las consideraciones generales del GDPR. En el futuro, las aseguradoras tendrán que evaluar cuidadosamente el alcance de la cobertura de los datos biométricos en el contexto de un panorama técnico, normativo y jurídico en desarrollo.
Por encima de todo, los aseguradores querrán ver la adhesión a las mejores prácticas en lo que respecta a los datos biométricos. Las organizaciones deben adoptar prácticas adecuadas de gestión de riesgos, que incluyan evaluaciones periódicas de la seguridad, el cumplimiento de los principios mínimos de tratamiento de datos y planes sólidos de respuesta a incidentes.
Para las aseguradoras, comprender estas prácticas es vital para evaluar las solicitudes de pólizas y orientar a los asegurados en la mitigación de los riesgos asociados a los datos biométricos.
