A la aplicación para móviles del banco se puede acceder con un código pin, que es la opción por defecto, pero muchas permiten ingresar usando la huella dactilar. De ahí ha surgido la siguiente duda que nos habéis hecho llegar: ¿esa huella la guarda el banco en cuestión o nuestro dispositivo? Los datos biométricos son especialmente sensibles debido a la manera inequívoca que tienen de identificarnos, y tienen que guardarse y tratarse con mayor cautela que el resto de información.
Hemos consultado las políticas de privacidad de algunas entidades bancarias para comprobar que especifiquen el tratamiento de este dato o no. En el caso de Caixabank, por ejemplo, hablan de la huella dactilar directamente en su Política de Privacidad para avisar de que al registrarla en la app autorizamos al banco a crearla y guardarla en sus ficheros. Según el documento, guardan la huella hasta que termina la contratación de sus servicios y se usa, principalmente, a efectos de autenticación del cliente.
“El patrón biométrico se ha protegido mediante la aplicación de varios algoritmos de cifrado; en ningún caso será posible la reconstrucción de la huella digital a partir del patrón biométrico obtenido”, aseguran en la política.
BBVA también habla de la huella dactilar en su Política de Privacidad, pero esta vez para explicar que, en caso de utilizarla, se quedará encriptada en tu teléfono móvil (por lo que la seguridad del patrón biométrico queda sujeta al diseño de cada fabricante): “Esta funcionalidad técnica no es controlada por BBVA y depende exclusivamente del fabricante del dispositivo”.
Hay muchas otras aplicaciones bancarias que permiten el uso de la huella dactilar para autenticarse o completar transacciones pero que no incluyen esta función en su Política de Privacidad porque no la tratan directamente (se guarda en el dispositivo).
Hemos preguntado al Banco Santander por este tratamiento y nos confirman esto último: “El Banco no realiza ningún tratamiento de datos biométricos de clientes a través de sus aplicaciones informáticas, sino que las funciones de identificación y autenticación, mediante el uso de tecnologías de huella digital o reconocimiento facial, las realiza el sistema operativo del dispositivo móvil del usuario”, asegura un portavoz.
En el caso de Bankia, más de lo mismo: esta información no aparece en la Política de Privacidad de la app sino en el Aviso Legal, otro documento legal obligatorio. El sistema de identificación no lo facilita ni lo gestiona Bankia, sino el fabricante del dispositivo móvil.
Los móviles tienen funciones específicas para guardar datos biométricos como la huella dactilar
Hablando en términos técnicos, las funciones de identificación y autenticación a través de datos biométricos se llevan a cabo mediante capas de software que implementan los propios sistemas operativos. En cada dispositivo, ya sea de Android (Google) o de iOS (Apple), se localiza una especie de caja fuerte donde se guardan datos como el de la huella dactilar. Un banco como Santander no recibe el dato en sí, sino una clave de acceso a la caja, que la vincula con la aplicación, y que valida que lo que hay dentro es mi huella.
Este informe del INCIBE de 2016 señalaba que una de las principales vulnerabilidades del uso de la huella dactilar es la “aceptación de muestras biométricas falsas como fotografías, dedos de goma, etc.” que permitiría una autenticación falsa al usarla o llevar a la suplantación de identidad. Además, desde la implantación del Reglamento General de Protección de Datos (RGPD) en 2018, esta categoría de datos tiene una protección especial (Artículo 9).
Primera fecha de publicación de este artículo: 09/07/2020.