Preguntas y respuestas sobre los datos biométricos. ¿Por qué son importantes? ¿Quién tiene acceso a ellos? ¿Es lo mismo escanear la huella dactilar que el ojo?

Los datos biométricos son rasgos de nuestro físico y comportamiento que nos identifican de forma inequívoca y que no se pueden cambiar. Por ejemplo, nuestras huellas dactilares, nuestros rasgos faciales o nuestro iris. Poco a poco este tipo de información se ha ido incorporando a nuestro día a día y ya es habitual emplearla en los pagos que hacemos con la aplicación del banco, cuando desbloqueamos el móvil, verificamos nuestro perfil en redes sociales o incluso a la hora de fichar en el trabajo.

Pero surgen dudas sobre si tiene sentido exponerlos ante los posibles riesgos y en qué usos es adecuado compartirlos. ¿Se pueden sacar de una foto? ¿Los tienen Apple y Google? ¿Y el gobierno? ¿Cuánto valen? Respondemos a las dudas sobre el uso de los datos biométricos, cómo se recogen, su importancia y cuáles son nuestros derechos sobre ellos.

A un clic, ¿de qué hablamos en este tema? Pincha para ampliar

• ¿Qué son los datos biométricos y por qué son tan importantes?

• ¿Todos los datos biométricos son iguales? ¿Es más importante el iris que la cara?

• ¿Quién puede acceder a ellos? ¿Se necesita permiso?

• ¿Cómo se recogen estos datos? ¿Se pueden tomar de una fotografía en redes sociales? ¿Los puede captar una cámara de vídeo de la calle?

• ¿Puedo hacer trampas al escanear mi iris? ¿Qué pasa si uso lentillas? ¿Y si tengo una enfermedad o una discapacidad visual?

• ¿Están mis datos biométricos en el DNI? ¿Los tiene el Gobierno? ¿Si doy mi DNI, otras personas tendrán acceso a ellos?

• ¿Qué datos recogen los smartphones? ¿Apple o Google tienen mis huellas dactilares? ¿Y mi iris?

• ¿Merece la pena vender estos datos? ¿Qué valor tiene mi huella dactilar o mi iris?

• ¿Por qué me debería importar ceder mis datos biométricos a otras compañías si ya los he cedido en otra ocasión?

• ¿Qué pasa si me arrepiento de haber cedido estos datos? ¿Qué puedo hacer?

Los datos biométricos recogen algunas de nuestras características físicas (rasgos faciales, ojos, huellas dactilares) y de nuestro comportamiento. A diferencia de otro tipo de datos personales, como nuestro nombre, dirección o DNI, los datos biométricos nos identifican de forma inequívoca y es información que no podemos modificar. Podemos cambiar la contraseña del banco o nuestro nombre, pero estas características de nuestro cuerpo son únicas en el mundo e irreemplazables.

En ocasiones estos métodos de identificación pueden fallar y cometer errores. Según destaca la Agencia Española de Protección de Datos (AEPD), los sistemas de identificación biométrica se basan en probabilidades, por lo que pueden dar falsos positivos dependiendo de la precisión del equipo o de los datos, como puede ser en el caso de dos familiares que guardan mucho parecido entre sí. Cuanto mayor sea la calidad de estos datos, mayor será la precisión de estos sistemas.

Algunos datos biométricos, como las huellas dactilares, cambian con el paso del tiempo, ya sea por daños físicos o por el envejecimiento de una persona. Los rasgos faciales también pueden sufrir variaciones con la edad o con medidas drásticas como una operación de cirugía plástica. En ocasiones se han podido burlar estos sistemas de reconocimiento con máscaras 3D, aunque se trata de casos en los que los criminales contaban con grandes conocimientos técnicos sobre el funcionamiento de estos sistemas y con datos de la víctima para cometer este tipo de fraude. 

Pero hay otros datos biométricos que son menos susceptibles de sufrir cambios, como es el iris. Esta parte de nuestro cuerpo cuenta con la protección de la córnea, por lo que no se ve tan expuesta al entorno como las huellas dactilares o nuestro rostro, aunque hay casos excepcionales que pueden afectar a sus características como traumatismos y enfermedades. Además, es mucho más difícil de recoger que otros rasgos personales, como nuestros rasgos faciales. Eduard Blasi divulgador del canal Tech and Law, que ha recibido un Premio AEPD 2023, y maldito que nos ha prestado sus superpoderes, inciden que el iris es “uno de los datos más inequívocos” y “uno de los más preciados” que tienen las personas. 

Al tratarse de información altamente sensible, los datos biométricos están especialmente protegidos por ley y no todo el mundo puede hacerse con ellos. El artículo 9 del Reglamento General de Protección de Datos (RGDP) prohíbe el tratamiento de estos datos por norma general, salvo el consentimiento explícito del interesado. Es decir, que cedamos esta información de manera voluntaria a otra persona o compañía para su tratamiento. 

Para que el consentimiento sea válido, laAEPD incide en que se tiene que tratar de una decisión informada: se nos tiene que avisar de qué datos se van a recoger, para qué se van a utilizar y quién es el responsable de su tratamiento. Además, la empresa tiene que justificar el uso de estos datos biométricos y por qué no se puede utilizar ninguna otra alternativa menos invasiva, y los menores de 14 años necesitan la autorización de un adulto para poder ceder esta información. Aquí puedes encontrar más información sobre el consentimiento a la hora de ceder datos biométricos. 

Para recoger estos datos biométricos generalmente es necesario utilizar un equipamiento que esté preparado para procesar este tipo de información. Si has renovado el DNI, seguro que ya estás familiarizado con los típicos escáneres de huellas dactilares. En el caso de Worldcoin, el proyecto de Sam Altman para crear un sistema global de identidad digital, se utiliza el denominado Orb: un escáner que recoge diferentes datos biométricos de nuestro iris. Las VisionPro, las gafas de realidad mixta de Apple, también cuentan con sensores similares para recoger información sobre nuestros ojos.

Interior de un Orb de Worldcoin. Fuente: Worldcoin. 

También se pueden utilizar imágenes de alta resolución para obtener otro tipo de datos, como nuestros rasgos faciales o nuestra huella dactilar. Algunas plataformas, como Tinder, recogen datos de nuestra geometría facial a la hora de verificar nuestra identidad, un sistema que también emplean otras redes sociales.

Aunque existen sistemas de videovigilancia que son capaces de recoger nuestros datos biométricos, por el momento ni las cámaras de seguridad ni las fotografías en redes sociales se pueden usar para obtener nuestro iris. Es complicado obtenerlo de este tipo de fotografías e imágenes y para ello hace falta un escáner específico de iris, asegura Blasi.

Al contar con esa capa con la protección de la córnea, el iris es menos susceptible de sufrir cambios, pero tampoco es imposible que ocurra en casos excepcionales a causa de enfermedades o traumatismos. Algo que puede afectar a la precisión del escaneo del ojo. Las lentillas también pueden alterar a este proceso, en especial aquellas que son más densas y cambian la textura del iris, o las de color, que se solapan con este rasgo. 

Otros factores, como la dilatación de la pupila, tienen un menor impacto en el escaneo del iris. Pero hay casos en los que las enfermedades oculares o una discapacidad visual pueden dificultar e impedir este escaneo. Aquí puedes encontrar más información sobre en qué condiciones se reduce la precisión de estos sistemas y si se les puede engañar.

Desde la incorporación del DNI 4.0 en 2021 este documento también guarda algunos de nuestros datos biométricos, como nuestra huella dactilar y nuestros rasgos faciales. Este documento cumple con la normativa europea sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión Europea para evitar suplantaciones de identidad y otros fraudes. Todos los países de la UE tienen que tenerlo.

Estos datos son almacenados por el Ministerio de Interior, que puede utilizarlos para la identificación de ciudadanos en casos concretos. Según destaca la Policía Nacional, está autenticación a través del DNI y los datos biométricos “sólo está disponible en puntos de acceso controlados”. Según la Policía Nacional, el chip de este documento contiene un “resumen criptográfico de la impresión dactilar”. Es decir, que no contiene una imagen de nuestra huella dactilar, si no una representación matemática del mismo. Aquí puedes encontrar más información sobre el DNI y el uso de datos biométricos.

Algunas compañías ofrecen soluciones para desbloquear el móvil o pagar con nuestra aplicación del banco usando nuestros datos biométricos, como la huella dactilar o nuestra cara. En la mayoría de los teléfonos móviles esta información se procesa a nivel local, por lo que no queda almacenada dentro de los servidores de la empresa del dispositivo ni tienen acceso a ella. Es decir, los datos se guardan en un almacenamiento independiente de la memoria principal del teléfono que está cifrado y al que no tienen acceso las aplicaciones (ni las empresas) ni posibles virus. Por lo que cada vez que encendamos el dispositivo o cambiemos de móvil tendremos que volver a introducir esta información.

Lo mismo pasa en algunos dispositivos que emplean el reconocimiento a través de iris, como pueden ser las Vision Pro, las gafas de realidad mixta de Apple. Según la compañía, los datos sobre nuestro iris están “cifrados y protegidos” con una clave a la que únicamente puede acceder Secure Enclave, el sistema de seguridad que trata esta información en un procesador dedicado exclusivamente a esta tarea. Lo mismo pasa en el sistema Touch ID de los iPhone, que procesa nuestras huellas dactilares sin que salgan del dispositivo. 

Apple detalla que este sistema no guarda nuestros datos biométricos, sólo su representación matemática, y esta información ni sale del dispositivo ni llega a los servidores de la compañía, por lo que la empresa no tiene acceso a ellos. Aquí puedes encontrar más información sobre el uso de datos biométricos y los dispositivos móviles.

En los dispositivos Apple el procesamiento de la huella dactilar se realiza con un procesador dedicado y no queda almacenado en la memoria principal del dispositivo. Fuente: Apple.

Al ser información tan sensible e irreemplazable, los datos biométricos tienen un precio. Aunque es difícil comprender el valor exacto de nuestros datos biométricos, algunos expertos apuntan a que esta información puede valer cientos de euros en el mercado negro de internet. Una publicación de Forter, una compañía dedicada a la ciberseguridad, detalla que un pasaporte biométrico, aquel que se vale de nuestros rasgos personales para identificarnos, puede ascender hasta cerca de 1.800 euros. “Los datos personales tienen un valor cuantificable en internet. Cuanto mayor es el número de datos o más personal sea la información, mayor puede ser el valor o el precio que se ofrezca por ellos”, incide Blasi.

La pregunta es si el riesgo merece lo que valen. Mar España, directora de la AEPD, señaló en rueda de prensa que hay casos en los que los jóvenes han cedido sus datos biométricos “por cantidades irrisorias” teniendo en cuenta los riesgos a los que se exponen, en referencia a los tokens de la criptomoneda WLD que recibían a cambio de escanear sus iris. 

Si hemos cedido esta información a otras compañías y la almacenan en sus servidores, estos datos pueden acabar en las manos de los cibercriminales si consiguen burlar la seguridad de las empresas y acceder a la información almacenada en sus servidores. “Si tras un ciberataque, una base de datos con datos biométricos acaba en la Deep Web, intuyo que podrían pagarse a un precio alto ya que muchas apps de entidades bancarias utilizan los datos biométricos como credenciales de acceso a las mismas”, argumenta Blasi.

Por ello es importante distinguir si nuestros datos biométricos van a acabar dentro de una base de datos o si sólo van a estar almacenadas en nuestro dispositivo, como es el caso de las huellas dactilares en dispositivos móviles.

Que cedamos nuestros datos biométricos a una compañía no significa que otra empresa ya tenga esta información; pero según sus términos y condiciones sí que pueden acabar en otras manos.

Por ejemplo, si cedemos nuestro iris a Apple, Worldcoin no tiene acceso a él. La clave está en la política de privacidad de las compañías, que incluyen información sobre qué tipo de datos se van a recoger, para qué se van a utilizar y cuál es su tratamiento. También si se van a ceder a terceros. En el caso de Worldcoin, en una de las opciones del consentimiento, se almacenan y comparten con terceros.

Este documento es diferente entre empresas y el tratamiento que haga de estos datos una plataforma no es igual al que puede hacer otra. En resumen, cada compañía toma decisiones diferentes sobre estos datos, lo que también influye en cómo se almacenan y su seguridad. Es importante detenerse a mirar este documento y fijarnos bien a quién cedemos esta información, ya que corremos el riesgo de entregar nuestros datos personales a aplicaciones fraudulentas o entidades que no hagan una correcta gestión de nuestros datos biométricos, que pueden acabar en las manos equivocadas. 

Formulario de consentimiento de datos biométricos de Worldcoin. Fuente: Worldcoin.

Política de privacidad de Optic ID, el sistema de reconocimiento de iris de las Vision Pro de Apple. Fuente: Apple. 

Según el Reglamento General de Protección de Datos, aunque hayamos cedido esta información tenemos derecho a revocar este consentimiento, oponernos a su tratamiento o solicitar su eliminación. Para hacerlo  tendremos que dirigirnos al responsable del tratamiento de estos datos, designado en la política de privacidad de cada compañía, pidiendo la retirada de esta información. 

Para ello, la empresa puede poner un formulario a nuestra disposición, que tiene hasta un mes para dar respuesta a nuestra solicitud, aunque este plazo se puede prorrogar hasta otros dos meses en determinados casos. Si durante ese periodo no obtenemos respuesta, en España podemos reclamar a través de los formularios que dispone la Agencia Española de Protección de Datos.

Además, si consideramos que el consentimiento a la hora de entregar estos datos no ha sido debidamente informado o detectamos alguna otra irregularidad, podemos interponer una reclamación ante la AEPD, que puede iniciar una investigación de oficio. Por ejemplo, tras recibir trece denuncias, la AEPD ha aplicado medidas cautelares que impiden a Worldcoin seguir tratando los datos personales de sus usuarios y el escáner de iris en España. Aquí puedes encontrar más información sobre la retirada de datos biométricos y cómo se aplica en compañías como Worldcoin.

En este artículo ha colaborado con sus superpoderes el maldito Eduard Blasi, abogado especialista en derecho digital y cofundador de Tech and Law.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Primera fecha de publicación de este artículo: 09/03/2024