Seguritecnia 508

/ Julio-Agosto 2024 36 Opinión Por lo que, si la plantilla obtenida del mismo dato biométrico no es única, ¿debería ser un dato un dato sensible? ¿Dato personal? La mayoría de los sistemas biométricos para la identificación en los sistemas de control de accesos no registran el dato biométrico, únicamente guardan la plantilla que utilizarán en el proceso de matching . Una vez que identifican o autentican la plantilla, la relacionan con un número de identificación o cre- dencial, que no es el DNI, el número de Seguridad Social o el código del em- pleado. En concreto, la credencial es el código asignado a la acreditación de la persona, ya que la dupla (credencial, plantilla biométrica) no permite vincular la plantilla a un titular. ¿En qué momento debería entender- se que una plantilla biométrica se con- vierte en un dato personal? Cuando se construye una base de datos que permi- te relacionar la plantilla biométrica con el titular. Si el DNI no es un dato per- sonal mientras no esté acompañado del titular, ¿por qué la plantilla biométrica sin acompañar del titular sí lo es? Tenemos un problema a resolver y una oportunidad magnífica para acer- car las interpretaciones jurídicas, las necesidades de la seguridad y las inter- pretaciones técnicas, que pueden ser el inicio de una colaboración transversal para el siguiente desafío: la inteligencia artificial. el dato biométrico (total o parcialmen- te) a partir del número o etiqueta de la plantilla. La siguiente cuestión viene de la pre- gunta: ¿es la plantilla biométrica única para el mismo dato biométrico? Puede afirmarse que la plantilla para el mismo dato biométrico no es única, y, por lo tanto, la plantilla biométrica no identi- fica de forma unívoca sin información adicional. Las plantillas extraídas a una misma persona en distintos momentos y en el mismo lector no son exactamente igua- les. En el proceso de matching , que es la comparación de la plantilla biomé- trica obtenida de los datos biométricos “leídos” con la plantilla biométrica re- gistrada, existe un ajuste del límite de correspondencia o thereshold entre la plantilla leída y la registrada porque la tecnología aplica un ajuste de aproxi- mación para evitar una elevada tasa de falsos rechazos FRR ( False Rejection Rate ). Entonces, ¿es la plantilla de la hue- lla dactilar de una persona igual en un lector óptico, en uno capacitivo o en uno térmico? La respuesta es no. ¿Es la plantilla de la huella de una misma persona igual en sistemas de fabrican- tes distintos con la misma tecnología? No disponemos de evidencia de que las plantillas biométricas registradas por un sistema puedan utilizarse por otro sin una norma que establezca su universa- lidad en el uso. ¿Permiten las plantillas biométricas de cualquier tecnología identificar de forma unívoca? La respuesta a esta pre- gunta es crucial en la aplicación de la biometría y la protección de los datos. Tanto es así, que podría llegar a cues- tionarse si la plantilla biométrica de de- terminada tecnología puede no ser un dato sensible, a pesar de lo que hasta ahora se pueda haber dicho en el ámbi- to de la protección de datos en España y en Europa. La plantilla biométrica Para apoyar esta reflexión, se va a utili- zar la técnica de “abogado del diablo” para cuestionar que la plantilla biomé- trica sea un dato sensible. Empecemos por definir algunos términos, con el apo- yo de la norma UNE-EN ISO/IEC 2382- 37:2023 “Tecnología de la información. Vocabulario. Parte 37: Biometría”: Dato o muestra biométrica : corres- ponde con la representación analógi- ca o digital de características biológi- cas o de comportamiento de la que se extraerá una plantilla biométrica. Plantilla biométrica : es el resultado de la extracción de características biométricas mediante un proceso aplicado a un dato o muestra biomé- trica, con la intención de aislar y emi- tir números o etiquetas que puedan compararse con los extraídos de otros datos o muestras biométricas. Los sistemas de control guardan para cada persona una plantilla biométrica que servirá de base para la compara- ción con lecturas futuras y determinar si se trata de la misma persona. Es importante indicar que la mayo- ría de los sistemas de identificación o autenticación biométrica utilizados en control de accesos en aplicaciones de seguridad se apoyan en una plantilla biométrica que no permite reconstruir Una plantilla biométrica se convierte en dato personal cuando se construye una base de datos que permite relacionar la plantilla con el titular