La protección de datos en las contraseñas biométricas

18/07/2018

Los datos biométricos más populares son la huella dactilar o el iris del ojo, aunque existen muchos otros como la voz, la palma de la mano, las facciones, etc.

Los datos biométricos son definidos en el RGPD como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Este tipo de contraseñas, como todas, tiene ventajas y desventajas:

Ventajas:

  • Más seguridad: Las contraseñas biométricas son más difíciles de falsificar o copiar dado que no se trata de una contraseña con números o letras si no de un rasgo físico propio del interesado como podría ser la retina del ojo, la huella dactilar, la forma de la cara, la voz, etc.
  • Más comodidad: No tener que llevar encima o recordar una contraseña es más cómodo para el interesado. Además, el hecho de que la contraseña sea la propia persona hace imposible perderla, por lo que no se necesitan medidas de seguridad en ese sentido.
  • Menor coste de mantenimiento: Una vez implantado el sistema, no es muy costoso mantenerlo ya que no conlleva los gastos relativos al robo o pérdida de contraseña.
  • Establece responsabilidades: Dado que una contraseña biométrica es única e intransferible, pues se necesita la presencia física de una persona para utilizarla, facilita el rastreo y documentación de la persona cuando utiliza el sistema, lo que reduce la posibilidad de uso indebido y fraude del mismo.

Desventajas:

  • Es un sistema de contraseña más invasivo: La empresa que almacena las contraseñas biométricas tiene acceso a los datos personales físicos de una persona. Estos datos, en principio, acompañan al interesado toda la vida, por lo que es muy importante su seguridad. Además, en caso de que hubiera una brecha de seguridad en la empresa, otras personas que no fueran el interesado tendrían acceso a los datos físicos de éste. Asimismo, estos datos son mucho más valiosos que una contraseña y se podrían a llegar a utilizar para otros fines ilícitos a parte del acceso no autorizado al dispositivo protegido y a sus datos.
  • Es un tipo de contraseña que no se puede cambiar: Si alguien consigue tener una copia de la contraseña biométrica no se puede hacer nada para cambiarla a no ser que se pase a utilizar una contraseña alfanumérica o, en caso de utilizar la huella digital, cambiar de dedo.
  • Es un sistema que requiere de un hardware específico para funcionar correctamente: los sistemas biométricos requieren de hardware muy especializado para funcionar correctamente, y si bien algunos sistemas de autenticación biométricos como el lector de huellas tienen una tasa de fallo baja, otros, como el de reconocimiento facial, son más problemáticos, puesto que si el sistema no es suficientemente avanzado puede ser engañado fácilmente con, por ejemplo, una foto.

Los datos biométricos como datos especialmente protegidos

Previamente, con la Directiva 95/46/EC, los datos biométricos se consideraban meramente identificativos, por lo que sólo requerían unas medidas de seguridad básicas equivalentes a las de una contraseña alfanumérica común.

En la actualidad, teniendo en cuenta los riesgos mencionados anteriormente, el legislador europeo ha considerado los datos biométricos como datos especialmente protegidos, por lo que han sido incluidos en esta categoría en el RGPD.

Al ser considerados datos especialmente protegidos, estará prohíbo su tratamiento excepto en los siguientes casos:

  • el interesado dio su consentimiento explícito con uno o más de los fines especificados.
  • el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
  • el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
  • el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
  • el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
  • el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • el tratamiento es necesario por razones de un interés público esencial.
  • el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
  • el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
  • el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

 

Por último, es importante mencionar que las empresas que realicen un tratamiento masivo de datos especialmente protegidos, deberán realizar una evaluación de impacto.

 

Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.

Campos Catafal
contraseñas biométricas
protección de datos

Darreres publicacions

© Campos Catafal Advocats SCP | Advocats Barcelona | +34 932 070 569 | info@camposcatafal.com

Este sitio utiliza cookies y tecnologías similares para ofrecerle una navegación personalizada y mejorar nuestros servicios, así como para fines estadísticos. Si continúa navegando por este sitio, acepta haber sido informado de ello. Más información

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Cerrar