Falta cada vez menos para que entre en vigor el nuevo reglamento europeo de protección de datos o RGPD. Todo un reto para las empresas que tratan con datos personales (y pocas son las que no lo hacen), pero a la vez un significativo salto hacia delante en la regulación de las nuevas tecnologías.
El primer gran avance es, según nuestra opinión, el alcance geográfico de la regulación. Aunque es cierto que cada Estado miemo de la UE podrá introducir modificaciones específicas, esta nueva normativa da unas directrices que homogenizan el trato de los datos personales a nivel europeo.
Uno de los cambios más relevantes es el trato de los datos biométricos. Hasta ahora, en España se regulaban a través de la LOPD, que no consideraba que necesitasen un sistema de procesado diferente de los tradicionales:
«El procesado de datos biométricos y su vinculación con la identidad de los ciudadanos no tiene mayor trascendencia respecto de la privacidad que los métodos más tradicionales y menos exactos que se emplearon con anterioridad (códigos secretos, la firma, etc.). Por ello, la obtención y el uso de datos biométricos tales como la huella dactilar, el iris del ojo etc. no tienen porqué considerarse, en sí, como un sistema que altere los sistemas tradicionales.»
En cambio, con el nuevo reglamento los datos biométricos entran en una categoría especial: se consideran de carácter sensible y merecen una especial protección:
“Son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”
Esto se traduce en la obligación una mayor protección por parte del responsable de los datos, como por ejemplo una valoración del impacto del uso del sistema que se utilice. Además, de acuerdo con el RGPD, los datos biométricos solo se pueden utilizar cuando la persona interesada dé su consentimiento explícito o cuando se trate de necesidades específicas
En resumen, los datos biométricos pasan a ser datos sensibles, cuyo uso debe ser expresamente autorizado por la persona y restringido a unos casos específicos. También requerirán de un sistema mucho más seguro en su almacenaje y tratamiento.
La pregunta que nos viene a la mente es si el mayor control y restricciones están justificados. Según Eric Gracia, abogado en Derecho.com, lo están plenamente, ya que el riesgo asociado al robo de datos biométricos es muy elevado.
«Cuando la seguridad de una contraseña se ve comprometida podemos cambiarla, pero nuestra huella o nuestra cara no (al menos no de forma fácil).»
En su opinión, deberían aplicarse técnicas de biometría cancelable, que permitan generar un nuevo dato biométrico para la misma persona en el caso de que la seguridad se vea comprometida. Además, recomienda combinar la identificación biométrica con otros métodos de autenticación, aunque su opinión es que los constantes avances en este campo acabarán por ofrecer identificaciones biométricas cómodas de usar y suficientemente robustas por si solas.
En cualquier caso, la normativa debe intentar adaptarse con suficiente rapidez a estos cambios, para garantizar la protección de la persona y sus datos, y a la vez para no suponer un lastre a la implementación de nuevas tecnologías biométricas.
¿Quieres consultar la opinión de este y otros expertos soe regulación, normativa e identidad digital?