Datos biométricos: ¿Qué son y por qué necesitan protección especial?
Heidy Balanta
Directora de Escuela de Privacidad
@heidybalanta
La biometría es una de las técnicas más precisas para identificar y verificar a una persona. Para que funcione, se requiere el uso de características físicas, fisiológicas o conductuales únicas que, mediante un tratamiento tecnológico específico, permiten confirmar la identidad de un individuo. La extracción de estas características, que se transforman en patrones y plantillas, es lo que denominamos datos personales biométricos. Es importante destacar que la mera existencia de una característica física, fisiológica o conductual única no constituye un dato personal biométrico a menos que haya sido procesada y convertida en una plantilla biométrica. Sin embargo, sigue siendo un dato personal.
Algunas características especiales de los datos biométricos son:
- Universalidad: todos los seres humanos poseen datos biométricos, como huellas dactilares, rostro, iris, venas, entre otros.
- Unicidad: no existen datos biométricos idénticos entre personas, aunque en algunos casos, como las huellas dactilares, pueden existir similitudes que los sistemas pueden diferenciar.
- Permanencia: estas características cambian muy poco a lo largo de la vida, aunque factores como envejecimiento, cirugías o lesiones pueden alterarlas.
- Medibilidad: pueden ser capturadas y medidas mediante tecnología especializada.
Los datos biométricos más comunes incluyen el reconocimiento de huellas dactilares, el reconocimiento facial y la geometría de la mano. Otros tipos incluyen el reconocimiento de la retina, vascular y del iris.
Según el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) de México, los patrones del iris se desarrollan desde el nacimiento y rara vez cambian. Estos patrones son altamente complejos y contienen más de 200 propiedades únicas, lo que los convierte en uno de los datos biométricos más precisos. Estas características justifican que este tipo de datos reciba una protección especial en la mayoría de las legislaciones.
Los datos personales biométricos se utilizan para la verificación o autenticación, cuando se confirma que una persona es quien dice ser comparando sus datos biométricos con los registrados previamente. Un ejemplo común es el desbloqueo de un celular mediante reconocimiento facial o huella dactilar. Durante la configuración inicial del teléfono, se guarda una imagen del rostro o una plantilla de la huella. Cada vez que la persona intenta desbloquear el dispositivo, la cámara o el lector compara la imagen actual o la huella con la plantilla guardada. Si coinciden, el celular se desbloquea; de lo contrario, no.
Los datos biométricos se utilizan también para la identificación, como es el caso cuando se reconoce a una persona dentro de un grupo de individuos. Por ejemplo, en un edificio de oficinas, un sistema de huellas dactilares controla el acceso. Cuando alguien coloca su dedo en el lector, el sistema compara la huella con todas las almacenadas en su base de datos, que corresponden a las personas autorizadas. Si encuentra una coincidencia, la persona es identificada y se le permite el acceso. (Lea: Pliego de cargos contra Worldcoin, compañía que paga con criptomonedas por escaneo de iris)
En Colombia, aunque no existe una definición específica de dato personal biométrico, la ley lo clasifica como dato personal sensible, prohibiendo su tratamiento a menos que se cuente con la autorización expresa del titular. Esta protección especial tiene un fundamento claro: si una contraseña es vulnerada, el titular puede cambiarla y seguir utilizando el servicio, aunque con las consecuencias que conlleva un acceso no autorizado, como la posible suplantación. Sin embargo, en el caso de los datos biométricos, la situación es más delicada, ya que una persona no puede cambiar sus características físicas o fisiológicas si se accede a esta información (la plantilla biométrica). Los datos biométricos, al ser únicos, pueden causar un impacto considerable si se pierde el control sobre ellos: una suplantación de identidad podría ser permanente e irreversible.
En la Sentencia T-360/22, la Corte Constitucional conoció un caso donde unos productos bancarios fueron abiertos mediante una aplicación móvil usando huellas dactilares obtenidas fraudulentamente. Esto subraya la importancia de que los titulares de la información comprendan los riesgos asociados al tratamiento de estos datos. Aunque la biometría ofrece muchos beneficios, también implica riesgos que los ciudadanos deben entender.
En este contexto, las entidades responsables del tratamiento de datos personales enfrentan mayores exigencias legales debido a los riesgos que dicho tratamiento representa para los titulares. Las normas exigen requisitos especiales cuando se captura este tipo de información personal, tales como la obtención de una autorización reforzada, la inclusión del tratamiento de datos sensibles en el aviso de privacidad y la adopción de una política especial para su manejo como datos sensibles en el Registro Nacional de Bases de Datos (RNBD). Por último, cabe destacar que el incumplimiento de estas obligaciones puede resultar en sanciones por parte de la Superintendencia de Industria y Comercio, las cuales pueden consistir en multas y suspensión de actividades relacionadas con el tratamiento, hasta el cierre de operaciones vinculadas al manejo indebido de datos sensibles.
Opina, Comenta