Con la proliferación de sensores que recolectan información que se almacena en bases de datos a través de internet, los derechos de los titulares de los datos recolectados se tornan en un asunto de fundamental importancia. Entre los datos capturados por estos sensores se encuentran los biométricos. Un ejemplo de estos datos es la huella dactilar; dato biométrico que algunos teléfonos inteligentes usan como medida de seguridad para acceder a las funciones del dispositivo. Por medio de un escáner se digitaliza la configuración particular de la huella del usuario del teléfono inteligente, se almacena, y se usa para dar acceso exclusivo a este dispositivo.

Importancia de los datos biométricos

En el 2017, la empresa Avanti Markets, que distribuye máquinas expendedoras de dulces, fue objeto de un ataque a manos de ciberdelincuentes, que robaron los números de las tarjetas de crédito y los registros de las huellas dactilares de los clientes. Fueron 1.6 millones de personas las afectadas por el ataque realizado a través de un malware que recopiló estos datos personales de los clientes de la empresa estadounidense. Las huellas dactilares que sustrajeron los delincuentes informáticos fueron recopiladas por los sensores biométricos con los que cuentan algunas de las máquinas expendedoras de la empresa.

El dato biométrico es toda aquella propiedad física, fisiológica, de comportamiento o rasgo de la personalidad, atribuible a una sola persona y que es medible, de lo que se sigue el daño por el robo o mal uso es potencialmente irreversible, pues los datos biométricos de un individuo no pueden cambiarse y una vez comprometidos no se podría volver a tener seguridad en su uso. Una contraseña vulnerada puede ser cambiada por otra de mayor seguridad, pero si los delincuentes informáticos atacaran la base de datos del sistema de reconocimiento facial Selfie Pay de MasterCard, accediendo a los registros de los clientes, el cuentahabiente no podría cambiar su rostro por otro.

Guía de tratamiento de datos biométricos

El Instituto Nacional de Transparencia, Acceso a la información y Protección de Datos Personales (Inai) publicó una Guía para el Tratamiento de Datos Biométricos, con el fin de que tanto los titulares de los datos como los responsables y encargados de su manejo entiendan cuáles son sus derechos y obligaciones contemplados en la regulación en materia de protección de datos personales.

¿Qué y cuáles son los datos biométricos?

Es un dato personal todo dato biométrico recolectado, almacenado, comparado e interpretado en función de que identifica o hace identificable, directa o indirectamente, a la persona física a la que corresponde el registro. Todo dato personal está protegido por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO).

Los datos biométricos se dividen en dos grupos, de acuerdo con las características individuales que registran:

Características físicas y fisiológicas

  • Huella dactilar
  • Reconocimiento facial
  • Reconocimiento de iris
  • Geometría de la mano
  • Reconocimiento de retina
  • Reconocimiento vascular

Características del comportamiento y la personalidad

  • Reconocimiento de firma
  • Reconocimiento de escritura
  • Reconocimiento de voz
  • Reconocimiento de escritura de teclado
  • Reconocimiento de la forma de andar

La regulación distingue del conjunto de los datos personales a un subconjunto particularmente delicado: el de los datos personales sensibles, a los que define como “aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”. Los datos personales sensibles pueden referir, por ejemplo, el origen racial o la preferencia sexual de una persona; esta información, en caso de ser difundida por el responsable, pudiera hacer a su titular objeto de discriminación, negándole acceso a derechos o servicios.

¿Quiénes están obligados a proteger los datos personales?

La regulación en protección de datos personales estipula que son dos los actores obligados a la protección de los datos personales: el responsable, que es la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales; y el encargado, que es un tercero, persona física o moral, que trata con los datos personales a cargo y por cuenta del responsable. La LFPDPPP contempla la excepción de responsabilidad de las sociedades de información crediticia. La LGPDPPSO extiende la responsabilidad a las autoridades.

¿Cuáles son los derechos del titular de los datos?

El derecho a la protección de los datos personales permite a los individuos tener control sobre su información personal. La LFPDPPP y la LGPDPPSO reconocen los derechos de los titulares respecto del tratamiento de sus datos personales. Al conjunto de estos derechos se les conoce como Derechos ARCO —acrónimo para acceso, rectificación, cancelación y oposición—, y son los siguientes:

  • Toda persona tiene derecho a acceder a sus datos cuando obren en poder de un particular o empresa que traten con ellos.
  • El titular de los datos tiene derecho a corregirlos cuando sean incorrectos, estén desactualizados o sean inexactos.
  • El titular tiene derecho a solicitar en todo momento la eliminación de su información de las bases de datos, archivos, registros, expedientes y sistemas del responsable, a fin de que ya no sean tratados por el mismo. Esta eliminación puede no ser inmediata, cuando las autoridades dispuesto la conservación de los datos por un periodo determinado. Tras el cumplimiento del plazo estipulado, los datos deberán ser eliminados.
  • Las personas podrán oponerse al tratamiento de sus datos personales por parte del responsable cuando considere que esto le ocasionará un daño o prejuicio o no quiera que su información sea usada para fines específicos. El titular podrá oponerse también al tratamiento automatizado de sus datos con la finalidad de evaluar de determinados aspectos personales o analizar o predecir su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
  • La LFPDPPP reconoce además a los titulares su derecho a revocar el consentimiento otorgado previamente para el tratamiento de su información personal, en cualquier fase del tratamiento, sin que se le atribuyan efectos retroactivos.

* * *

Ante la alta sensibilidad de los datos biométricos, los expertos recomiendan evaluar la pertinencia de su uso como medio de acceso a información. El criterio de evaluación recomendado es que si los datos biométricos usados en un sistema de autenticación son más sensibles que la información a la que dan acceso, es mejor el uso de los medios tradicionales como contraseñas. En el caso ejemplar de Avanti Markets, el costo por el robo de huellas digitales supera por mucho el costo de un bocadillo de oficina.