Cuando desbloqueamos nuestro teléfono con la huella dactilar o verificamos nuestro perfil en redes sociales con nuestra cara estamos usando nuestros datos biométricos, información sobre nuestros rasgos físicos que no se puede modificar y que nos identifica de manera casi inequívoca. Pero utilizar esta información no siempre significa que se la estamos cediendo directamente a Google o a Apple. Todo depende de si estos datos se procesan dentro del propio dispositivo o si los estamos cediendo a otras aplicaciones, algo de lo que nos tienen que advertir dentro de las políticas de privacidad de cada programa.
Los teléfonos móviles y las gafas de realidad virtual pueden recoger nuestros datos biométricos
La mayoría de dispositivos móviles incorporan cámaras de fotos o lectores de huellas digitales, elementos que pueden recoger nuestros datos biométricos como nuestros rasgos faciales o nuestra huella dactilar. Si tienes uno de estos dispositivos, puede que desbloquear el smartphone con un simple movimiento del pulgar ya sea un hábito que hagas sin pensar y que realices docenas de veces al día.
Pero esta información no sólo se emplea para desbloquear el móvil. También se utilizan estos datos en las redes sociales para, por ejemplo, verificar la identidad de sus usuarios o para usar un filtro que modifique nuestro aspecto. Aunque estos dispositivos pueden captar diferentes datos biométricos, es muy importante diferenciar cómo van a ser tratados y, sobre todo, si se van a almacenar en los servidores de una compañía o si no van a abandonar nuestro dispositivo. Una diferencia fundamental para valorar lo conveniente que puede ser ceder esta información y los riesgos a los que nos podemos exponer si perdemos el control sobre ella.
En la mayoría de casos esta información queda almacenada en el dispositivo y otras personas no tienen acceso a ella
En la mayoría de casos en los que utilizamos nuestros datos biométricos para autenticar nuestra identidad (como desbloquear el móvil), esta información se procesa a nivel local. Es decir, los datos se guardan en un almacenamiento independiente de la memoria principal del teléfono, que está cifrado y al que no tienen acceso las aplicaciones externas. Este es el motivo por el que cada vez que cambiamos de móvil tenemos que volver a introducir esta información.
Gracias a esta función no hace falta ceder nuestros datos biométricos a otras aplicaciones. Cuando uno de estos programas necesita verificar la identidad del usuario, no acceden directamente a esta información, sino que simplemente reciben la confirmación de estos sistemas de seguridad. Es decir, que actúan de intermediarios, lo que nos permite proteger nuestra privacidad. Aquí puedes encontrar más información sobre el uso de datos biométricos y los dispositivos móviles.
Jordi Serra Cruz, profesor de los Estudios de Informática, Multimedia y Telecomunicación en la Universidad Oberta de Cataluña (UOC), detalla a Maldita.es que estos sistemas tampoco emplean imágenes de nuestras huellas dactilares, sino que convierten este rasgo en un algoritmo, una representación numérica de nuestros rasgos. Lo mismo pasa con los sistemas de reconocimiento facial, que recogen características como la distancia de los ojos o la forma de la nariz y la transforman en números. Pero ni nuestra huella dactilar ni nuestra cara se comparten con otras personas, esta información se transforma en un código numérico que está encriptado y que no abandona el móvil.
Para tratar esta información los dispositivos Apple cuentan con Secure Enclave, un sistema de seguridad que almacena nuestros datos en un procesador dedicado exclusivamente a esta tarea. Según Apple, los datos biométricos que empleamos en los iPhone o las Vision Pro están “cifrados y protegidos” con una clave a la que únicamente puede acceder Secure Enclave, por lo que no abandonan el dispositivo y no están en posesión de Apple ni de otras aplicaciones. Lo mismo ocurre en los móviles Android, que cuentan con el TEE, un sistema aislado dentro del dispositivo para tratar esta información.
En los dispositivos Apple el procesamiento de la huella dactilar se realiza con un procesador dedicado y no queda almacenado en la memoria principal del dispositivo. Fuente: Apple.
Hay aplicaciones que nos pueden pedir estos datos para almacenarlos en sus servidores
Puede haber casos en los que ciertas aplicaciones no usen estos sistemas de seguridad y sí que nos pidan acceder directamente a nuestros datos personales para almacenar esta información en sus servidores. Algunas redes sociales, como Tinder, ofrecen la posibilidad de verificar nuestra identidad a través de una fotografía o un vídeo. A través de estas imágenes se pueden recoger nuestros rasgos faciales, una información que puede quedar almacenada en los servidores de la compañía. En el caso de Tinder, esta información queda guardada mientras nuestra cuenta queda abierta y se elimina 30 días después de cerrarla.
Política de privacidad de Tinder. Fuente: Tinder.
No sólo los móviles pueden tener acceso a nuestros datos biométricos. Las Meta Quest 2, las gafas de realidad virtual de Meta, también señalan en su política de privacidad que pueden almacenar información sobre nuestros movimientos, datos que pueden servir para identificarnos o de los que se pueden obtener detalles sobre nuestro comportamiento.
Política de privacidad de las Meta Quest. Fuente: Meta.
Para poder hacerse con nuestros datos biométricos estas aplicaciones y dispositivos nos tienen que avisar de cuándo van a recolectarlos y avisarnos de su uso en su política de privacidad: el documento que detalla qué tipo de información se va a recoger, para qué se va a usar y quién es el responsable de su tratamiento.
Es importante revisar este documento cuando alguien nos pida usar nuestro rostro o la huella dactilar para saber si estamos cediendo estos datos, algo para lo que nos tienen que pedir consentimiento ya que es información especialmente protegida por la ley. Aquí puedes encontrar más información sobre los datos biométricos, en qué casos se puede acceder a esta información y qué derechos tenemos sobre ella.
Primera fecha de publicación de este artículo: 18/03/2024