Tecnología

Una resolución de Protección de Datos amenaza la identificación biométrica en España

La Agencia Española de Protección de Datos obliga a un gimnasio a limitar "temporal o definitivamente" el tratamiento de acceso con huella dactilar

  • Mar España, directora de la Agencia Española de Protección de Datos (AEPD). -

Una denuncia de una usuaria contra el gimnasio Club Metropolitan, sito en Santander, ha acabado con 27.000 euros de multa y ha cernido una gran sombra sobre el uso futuro de la identificación biométrica en España.

Este establecimiento modificó en un momento dado el modo de acceso a sus instalaciones, hasta entonces a través de elementos como tarjetas y pulseras, y decidió instaurar un sistema basado en identificación de huella dactilar a la entrada. Una de las clientas, no conforme con la medida, decidió interponer una denuncia contra la empresa. En el marco de las investigaciones y tras la información requerida por la Agencia Española de Protección de Datos (AEPD), Metropolitan incluyó datos adicionales de otra instalación a la que estuvo afiliada la denunciante, concretamente el Club Aqua Florantes, propiedad de la empresa Llefisa, y que también incorporó un método de acceso biométrico.

En concreto, son tres multas de 15.000 euros, 10.000 euros y 2.000 euros por infringir tres artículos del Reglamento General de Protección de Datos (RGPD), Directiva europea que protege la información de los ciudadanos de la Unión Europea y que es de obligado cumplimiento en cualquier país de los 27, ya que debe trasponerse al ordenamiento jurídico de cada Estado.

Las dos sanciones más cuantiosas (15.000 y 10.000 euros) fueron calificadas por la Agencia Española de Protección de Datos como infracciones "muy graves". El problema principal radicó en la forma en que se trataron los datos, ya que no se ajustó a la normativa. Esto supone un problema porque, según en qué casos, podría ligarse la información dada por el cliente para la operativa del gimnasio (número de tarjeta de crédito, cuenta bancaria, número de teléfono, dirección física, nombre y apellidos, dirección de correo electrónico, etcétera) a su huella dactilar, con los problemas que esto puede suponer.

Si este nuevo caso llega a la Audiencia Nacional nadie sabe qué podría pasar en el caso de que se diera la razón a la usuaria por el uso de sus datos biométricos. Esto pondría en riesgo la utilización de este tipo de sistemas en España"Eduard Blasi, abogado y cofundador del canal TechAndLaw, Premio AEPD 2023

En 2019 una resolución sancionadora similar, también contra un gimnasio, fue elevada a la Audiencia Nacional (AN), quien acabó dando la razón al gimnasio. Así las cosas, nadie sabe qué podría pasar si Llefisa lleva el caso a la AN y se da la razón a la usuaria. "Si este nuevo caso llega a la Audiencia Nacional nadie sabe qué podría pasar en el caso de que se diera la razón a la usuaria por el uso de sus datos biométricos. Esto pondría en riesgo la utilización de este tipo de sistema en España", explica Eduard Blasi, abogado y cofundador del canal TechAndLaw, Premio AEPD 2023.

Se trata de un método cada vez más utilizado por las grandes tecnológicas. Es el caso de Apple y sus últimas gafas de realidad virtual, que funcionan a través de la identificación del usuario mediante el escaneo del iris. Por su parte, Google ha anunciado que está implementando una capa de privacidad adicional en las ventanas abiertas en modo incógnito para dispositivos Android, en las que ahora se podrá introducir una opción de bloqueo mediante autenticación biométrica. En España, AENA y Correos también hacen uso de estos sistemas en sus aeropuertos.

La principal característica del acceso a través de la huella digital o de cualquier otro método de identificación biométrica es que se trata de algo único, inmutable. Identifica solo a esa persona entre todas las que existen en el mundo; es un rasgo o característica irrepetible

El problema es que la biometría no es una clave

La principal característica del acceso a través de la huella digital o de cualquier otro método de identificación biométrica es que se trata de algo único, inmutable. Identifica solo a esa persona entre todas las que existen en el mundo; es un rasgo o característica irrepetible.

Si se hackea o realiza el copiado de una huella no existe la posibilidad de cambiarla por otra, como sí sucede con las clásicas contraseñas de acceso. Si se produce un incidente, pueden cambiarse las claves por otras nuevas. Esto hace que el tratamiento de este tipo de información (huellas dactilares, iris, rostros, etcétera) deba protegerse especialmente.

No obstante, desde Veridas, empresa española de verificación y autenticación de identidades personales mediante tecnología biométrica aseguran que "Los sistemas biométricos (cara, huella, voz) se han diseñado con la seguridad como eje central, lo que significa que incluso en el improbable caso de que se produjera un robo de datos, sería prácticamente imposible hacer un uso indebido de la información fuera de su contexto específico. Si el atacante intenta utilizar la foto robada/huella/voz en otro servicio, las tecnologías certificadas de prueba de vida ISO 30107 le impedirán tener éxito. Esto se debe a que los datos biométricos, cuando se almacenan, se transforman en un formato (vector biométrico) seguro que no es descifrable ni utilizable en ningún otro sistema".

Desde la empresa de ciberseguridad Check Point aseguran que "nunca se puede decir nunca, y menos en el ámbito de la ciberseguridad. Basta que a un hacker le digan que algo es imposible para que consiga hacerlo, para que lo tenga como reto".

Apoya TU periodismo independiente y crítico

Ayúdanos a contribuir a la Defensa del Estado de Derecho Haz tu aportación Vozpópuli