Autora Dra. Susana Eloísa (Ely) Mender Bini
Abogada (UNSTA, Argentina); Master (LLM) Propiedad Intelectual y Derecho Electrónico (UCC, Irlanda); Doctora en Ciencias Jurídicas por la Pontificia Universidad Católica Argentina (UCA). Especialista en Sistemas Biométricos, Privacidad y Protección de Datos Personales – (FernUni, Suiza); expositora en las jornadas virtuales de “Inteligencia Artificial y Derecho» (elDial-UCA-FIADI); estudiante de Ingeniería en Inteligencia Artificial (UP); Relatora de la Excma. Cámara Federal de Apelaciones de Tucumán, autora de diversos trabajos de doctrina sobre temáticas interdisciplinarias jurídico/científicas- (Rev.Perspectivas, Erreius, El Derecho).
Linkedin. https://www.linkedin.com/in/su-ely-mender-bini/
Buenas Prácticas Internacionales para Proteger la Privacidad y Garantizar Seguridad en el Procesamiento de los Datos Biométricos.
De hace unos años los sistemas biométricos forman parte del desenvolvimiento cotidiano en la vida de los individuos. Ya no están limitados al uso por el sector gubernamental (ej. DNI, pasaportes, migraciones, etc.). La incorporación de sistemas biométricos en la tecnología la podemos observar en los sistemas de reconocimiento facial y huella dactilar que incluso emplean los propios teléfonos celulares. Desde acceder al propio dispositivo, empleando biometría para el desbloqueo, hasta el ingreso a algunas aplicaciones móviles bancarias, entre otros usos.
Entendiendo a los sistemas biométricos como “…el uso de la tecnología informática para extraer características únicas de un individuo, ya sean rasgos físicos o conductuales, a los fines de verificar y/o identificar positivamente la identidad de un individuo, de forma que pueda acceder a ciertos recursos”;[1] los datos biométricos son el resultado de esa extracción de rasgos –denominado plantilla- que se combina con los datos personales del individuo a quién le pertenecen dichas características.
Ahora bien, la implementación de sistemas biométricos en distintos sectores, ha captado la atención de varias organizaciones e instituciones a nivel mundial por los impacto de los mismo en diversas cuestiones éticas y de derechos. Es así que, surgen las guías o códigos de buenas prácticas; una serie de recomendaciones dirigidas a un sector particular interesado,[2] dependiendo del área temática de la que trate.
Respecto de los sistemas biométricos, de la misma manera en que resulta difícil o complejo lograr un consenso en relación a la interoperabilidad en los sistemas entre distintos fabricantes; la misma dificultad se observa en relación al empleo y criterios aplicados para estos sistemas, en especial cuando en muchos países no cuentan con normativas que regulen de forma específica el manejo de los datos biométricos. Ello deriva en diferentes interpretaciones que esta serie de códigos o recomendaciones busca subsanar, al aportar criterios y directrices.
Así también, se puede apreciar por un lado que la formulación de estos documentos de buenas prácticas resultan un indicativo de la latente intención de cumplimentar con las normativas de protección de datos. Por otro lado, también se puede entender que habría una finalidad comercial por detrás, al poner de manifiesto ante el usuario y la población en general, que los proveedores tratan con seriedad la protección de datos y pretenden garantizarla y, por lo tanto, son sus productos los que deben consumirse.
En los últimos años, hubo un gran desarrollo de dichos códigos y guías de buenas prácticas, frutos del trabajo de organismos e instituciones -que lograron rango internacional- dedicados al estudio e investigación sobre sistemas biométricos, tales como Biometrics Institute [3]-originalmente de Australia, hoy es uno de los principales referentes en la materia a nivel internacional-, International Biometric + Identity Association (IBIA),[4] entre otros.
Entre los códigos o guías que se destacan se encuentran TrUsted Revocable Biometric IdeNtitiEs (TURBINE) Best Practice –proyecto de la UE, coordinado por Francia-,[5] BIOVISION Privacy Best Practices in Deployment of Biometric Systems –proyecto de la UE, coordinado por UK-,[6] IBIA Privacy Best Practice Recommendations For Commercial Biometric Use.[7]
Tanto TURBINE como BioVision, al momento de elaborar sus recomendaciones de “buenas prácticas”, tuvieron como piedra angular la Directiva 95/46/EC de protección de datos personales.
[1] (Das, 2015)
[2] (Kindt, 2013)
[3] (Biometrics Institute) https://www.biometricsinstitute.org/
[4] IBIA – ex Intenational Biometric Group LLC, (IBIA) https://www.ibia.org/
[5] (TURBINE Best Practice) UE CORDIS, https://cordis.europa.eu/project/id/216339
[6] (Biovision) UE CORDIS, https://cordis.europa.eu/project/id/IST-2001-38236
[7] (IBIA)
TURBINE presenta diez recomendaciones a las que estructura en cinco categorías de buenas prácticas:
- Principio de Limitación y Uso: con esta recomendación se busca que la recolección de data se limite aquella que sea necesaria para el funcionamiento del sistema. Ello se consigna una vez definido el uso y propósito que tendrá el sistema biométrico. Se agrega a ello, la recomendación de un resguardo de base de datos local.
- Diseño y Arquitectura de los Sistemas Biométricos: en lo que refiere a la perfilación del diseño y estructura, esta categoría cuenta con tres recomendaciones: a) que el sistema permita al usuario tener control sobre el uso de sus datos biométricos; b) que se creen diversas identidades para cada individuo/usuario sumado al uso de pseudónimos para los mismos; y c) que estas identidades/pseudónimos se puedan revocar en caso de verse comprometidas y volver a reasignar nuevas.
- Enrole en el Sistema Biométricos: en esta categoría se contemplan: a) que al momento del enrole del usuario se verifique la identidad o sus credenciales de forma confiable; y b) que durante el proceso de extracción del rasgo biométrico, la raw data, como las plantillas que no se encuentran protegidas sean eliminadas inmediatamente.
- Implementación de Sistemas Biométricos: respecto al empleo del sistema, se recomienda: a) que se empleen tecnologías que optimicen los niveles de privacidad (eg. Transformación de la plantilla biométrica, la encriptación, entre otros); b) transparencia e información detallada respecto al uso de sistemas biométricos y el tratamiento de sus datos; c) que se especifiquen e informen de los procesos alternativos en caso de que no se pueda posibilitar el enrole en el sistema o el posterior procesamiento de los datos.
- Organización, Seguridad y Certificación de Sistemas Biométricos: en esta sección se recomienda: a) que, para una óptima implementación de estos sistemas, se prevea todos los temas de inquietud, como las recomendaciones, desde el inicio; y b) que el sistema que se pretenda implementar cuente con las certificaciones correspondientes a la seguridad y protección de datos personales.
Se observa que el enfoque que emplea TURBINE para abordar estas recomendaciones lo hace en un lenguaje sencillo, sin hacer mayores referencias a la normativa en la que se fundamenta (la que fue presentada en su Introducción General). A su vez, en la última pauta recomendada por este equipo, se plantea lo que se conoce como Privacidad por Diseño o Privacy by Design; que se orienta a que desde el origen del sistema biométrico; es decir, desde que se está estipulando su arquitectura o incluso desde antes; se tenga en miras configurar un sistema robustecido en el tratamiento de los aspectos de privacidad del sistema y, por ende, desde una perspectiva en protección a los datos personales que tratan.
En el caso de BioVision presenta sus recomendaciones en formato de Preguntas Frecuentes, dado que sus guías parten de preguntas para las cuales elaboran respuestas en calidad de recomendaciones, las que sustentan con referencia a las normativas en las que se sustentan.
Finalmente, la guía de IBIA, si bien coincide en varios puntos de las recomendaciones de TURBINE y BioVision, abordando las mismas en una forma más escueta y puntal, presentando unas leves diferencias en sus recomendaciones, pero que no se apartan o contraponen con las previamente analizadas.
Ahora bien, si bien las orientaciones brindadas por los proyectos BioVision y TURBINE resultan accesibles al público en general –los mismos son proyectos finalizados-, por lo que cabe destacar que el Biometrics Institute con regularidad actualiza y publica su guía de buenas prácticas, como así también cuenta con material variado para el buen uso e implementación de sistemas biométricos –algunos gratuitos y otros accesibles para aquellos que cuenten con membresía de la institución-.[8]
Estas guías de buenas prácticas sientan el criterio mínimo de protección o resguardo de los datos personales de los usuarios y de su derecho de privacidad, en compliance con la mayoría de las normativas sobre protección de datos a nivel mundial.
[8] (Biometrics Institute) https://www.biometricsinstitute.org/good-practice/
Nota: Extracto tesis doctoral “Sistemas Biométricos: Privacidad y vulnerabilidad de los datos utilizados por los organismos del Estado Argentino” 14/09/2023 – UCA.
Este artículo es de propiedad de su autora Susana Eloísa (Ely) Mender Biniy, goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG). Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.