Biometría: oportunidad o problema en los sistemas de seguridad

13/08/2024

En noviembre de 2023, la Agencia Española de Protección de Datos publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos (que en adelante denominaremos como «la Guía»). Como consecuencia de ello, en la Asociación Española de Ingenieros de Seguridad (AEINSE) hemos recibido consultas de nuestros asociados sobre la interpretación de su alcance. En particular, recibimos preguntas sobre si es de aplicación únicamente a los sistemas en el ámbito del control de presencia o si incluye su aplicación para fines de control de acceso en el ámbito de la seguridad.

Para dar respuesta a estas consultas, desde la asociación creamos un grupo de trabajo para analizar las implicaciones de la biometría y la inteligencia artificial en el ámbito de la seguridad y su aplicación. Como primer resultado de este grupo, hemos llegado a la conclusión de que existe una duda razonable para interpretar que las conclusiones de la Guía no se deberían aplicar en el uso de la biometría en el ámbito de la seguridad contra amenazas de origen antisocial o ataques deliberados.

En concreto, la Guía señala tres tipos de tratamiento de los datos en el control de presencia: registro de jornada, control de accesos con fines laborales y control de accesos con otras finalidades. Son precisamente estos últimos dos tratamientos los que han causado dudas en el ámbito de la seguridad.

Control de accesos

Respecto al control de accesos en el ámbito laboral, la Guía lo define como «un tratamiento de control de presencia que se encontraría vinculado a la finalidad de supervisar la entrada o salida a determinados recintos», y posteriormente lo fundamenta como medida que pueda estimar el empresario para “verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”.

Esta finalidad es distinta al control de accesos con fines de seguridad, definido en la Norma UNE-EN 60839- 11-1 «Sistemas electrónicos de alarma y seguridad. Parte 11-1 Sistemas electrónicos de control de acceso. Requisitos del sistema y de los componentes», que indica que un sistema electrónico de control de accesos «es un sistema destinado a conceder a unas personas o entidades autorizadas la entrada o salida de una zona de seguridad controlada y denegar esa entrada o salida a unas personas o entidades no autorizadas».

Debemos colaborar con la Agencia Española de Protección de Datos para definir un marco de uso de la biometría con fines de seguridad

Respecto al control de accesos para otras finalidades, la Guía pretende cubrir aquellos «casos en los que también resulta preciso realizar un control de presencia que no necesariamente está en relación con una relación laboral». En esta situación, lo que se pretende es la consecución de una finalidad distinta que consiste en una supervisión de acceso de usuarios o clientes a determinados recintos o espacios, o bien que sea necesario para la ejecución de un contrato de, por ejemplo, disfrute de determinados servicios. Al igual que en el punto anterior, esta finalidad es distinta al control de accesos con fines de seguridad.

Por lo tanto, parece razonable interpretar que el control de accesos con fines de seguridad no está incluido en la finalidad del control de accesos con fines laborales. Y, por lo tanto, la Guía no debería aplicarse en los sistemas de seguridad. Sin embargo, una interpretación que no sea compartida por la Agencia Española de Protección de Datos no es suficiente.

Biometría en seguridad

Desde la publicación de la Guía, el uso de la biometría en aplicaciones de seguridad se ha reducido significativamente, con impacto negativo y severo sobre un sector que se ha visto afectado.

Al no existir una visión compartida por la Agencia Española de Protección de Datos sobre la aplicación de esta guía en el control de accesos con fines de seguridad, muchos responsables en la protección de datos de las empresas están recomendando no aplicar biometría en aplicaciones de seguridad. Tenemos un problema.

Un problema que podría ser resuelto de una manera muy simple: conocer la doctrina que seguirá la Agencia Española de Protección de Datos sobre la aplicación de esta Guía. ¿Se pretende aplicar la Guía sobre tratamientos de control de presencia mediante sistemas biométricos a fines de seguridad?

No obstante, vamos a aprovechar este problema para profundizar un poco más. Es evidente que, en el contexto actual, la aplicación de nuevas tecnologías va a requerir un esfuerzo considerable de los distintos grupos de interés para garantizar la proporcionalidad de las medidas y los derechos fundamentales, pero también para permitir que las empresas (motor de la economía) sean más eficaces para protegerse de sus riesgos.

Es en este punto donde todos los grupos de interés, incluidas las asociaciones profesionales, debemos aportar y colaborar con la Agencia Española de Protección de Datos para definir un marco de uso de la biometría con fines de seguridad.

Consideramos que las aplicaciones de biometría, incluso dentro del mismo sector de la seguridad, deben tener una correcta interpretación para aplicarlas de forma proporcional y equilibrada. Por tanto, no parece acertado pretender que cada aplicación de biometría deba estar soportada por una norma con rango de ley.

¿Permiten las plantillas biométricas de cualquier tecnología identificar de forma unívoca? La respuesta a esta pregunta es crucial en la aplicación de la biometría y la protección de los datos. Tanto es así, que podría llegar a cuestionarse si la plantilla biométrica de determinada tecnología puede no ser un dato sensible, a pesar de lo que hasta ahora se pueda haber dicho en el ámbito de la protección de datos en España y en Europa.

La plantilla biométrica

Para apoyar esta reflexión, se va a utilizar la técnica de «abogado del diablo» para cuestionar que la plantilla biométrica sea un dato sensible. Empecemos por definir algunos términos, con el apoyo de la norma UNE-EN ISO/IEC 2382-37:2023 «Tecnología de la información. Vocabulario. Parte 37: Biometría»:

Dato o muestra biométrica: corresponde con la representación analógica o digital de características biológicas o de comportamiento de la que se extraerá una plantilla biométrica.
Plantilla biométrica: es el resultado de la extracción de características biométricas mediante un proceso aplicado a un dato o muestra biométrica, con la intención de aislar y emitir números o etiquetas que puedan compararse con los extraídos de otros datos o muestras biométricas. Los sistemas de control guardan para cada persona una plantilla biométrica que servirá de base para la comparación con lecturas futuras y determinar si se trata de la misma persona.

Es importante indicar que la mayoría de los sistemas de identificación o autenticación biométrica utilizados en control de accesos en aplicaciones de seguridad se apoyan en una plantilla biométrica que no permite reconstruir el dato biométrico (total o parcialmente) a partir del número o etiqueta de la plantilla.

se apoyan en una plantilla biométrica

La siguiente cuestión viene de la pregunta: ¿es la plantilla biométrica única para el mismo dato biométrico? Puede afirmarse que la plantilla para el mismo dato biométrico no es única, y, por lo tanto, la plantilla biométrica no identifica de forma unívoca sin información adicional.

Una plantilla biométrica se convierte en dato personal cuando se construye una base de datos que permite relacionar la plantilla con el titular

Las plantillas extraídas a una misma persona en distintos momentos y en el mismo lector no son exactamente iguales. En el proceso de matching, que es la comparación de la plantilla biométrica obtenida de los datos biométricos «leídos» con la plantilla biométrica registrada, existe un ajuste del límite de correspondencia o thereshold entre la plantilla leída y la registrada porque la tecnología aplica un ajuste de aproximación para evitar una elevada tasa de falsos rechazos FRR (False Rejection Rate).

matchingtheresholdFalse Rejection Rate

Entonces, ¿es la plantilla de la huella dactilar de una persona igual en un lector óptico, en uno capacitivo o en uno térmico? La respuesta es no. ¿Es la plantilla de la huella de una misma persona igual en sistemas de fabricantes distintos con la misma tecnología? No disponemos de evidencia de que las plantillas biométricas registradas por un sistema puedan utilizarse por otro sin una norma que establezca su universalidad en el uso.

Por lo que, si la plantilla obtenida del mismo dato biométrico no es única, ¿debería ser un dato un dato sensible?

¿Dato personal?

La mayoría de los sistemas biométricos para la identificación en los sistemas de control de accesos no registran el dato biométrico, únicamente guardan la plantilla que utilizarán en el proceso de matching. Una vez que identifican o autentican la plantilla, la relacionan con un número de identificación o credencial, que no es el DNI, el número de Seguridad Social o el código del empleado. En concreto, la credencial es el código asignado a la acreditación de la persona, ya que la dupla (credencial, plantilla biométrica) no permite vincular la plantilla a un titular.

matching

¿En qué momento debería entenderse que una plantilla biométrica se convierte en un dato personal? Cuando se construye una base de datos que permite relacionar la plantilla biométrica con el titular. Si el DNI no es un dato personal mientras no esté acompañado del titular, ¿por qué la plantilla biométrica sin acompañar del titular sí lo es?

Tenemos un problema a resolver y una oportunidad magnífica para acercar las interpretaciones jurídicas, las necesidades de la seguridad y las interpretaciones técnicas, que pueden ser el inicio de una colaboración transversal para el siguiente desafío: la inteligencia artificial.

problema a resolver y una oportunidad magnífica para acercar las interpretaciones jurídicas