Biometría y protección de datos: la AEPD quiere evitar 'equívocos'

Recomendados:  Decálogo de ciberseguridad para empresas Leer  Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar ondemand

Esta nota técnica, que surge para comprender las implicaciones del tratamiento de los datos biométricos, ha sido desarrollada por la AEPD junto al Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés), y quiere acabar con una serie de “equívocos” relacionados con el uso de la biometría.

Según este trabajo, entre los equívocos más comunes relacionados con la biometría se encuentra la afirmación de que los sistemas de identificación y autenticación biométrica son más seguros para los usuarios. En este punto, advierte de que el acceso no autorizado a datos biométricos en un sistema permitiría o facilitaría el acceso en el resto de los sistemas que utilicen dichos datos biométricos. Por tanto, esto tendría “el mismo efecto que usar la misma contraseña en muchos sistemas distintos y, a diferencia de los sistemas basados en contraseñas, una vez que la información biométrica ha sido comprometida, esta no se puede cancelar”.

También advierte de que la información biométrica se almacena cada vez en más entidades y dispositivos, lo que aumenta exponencialmente la probabilidad de una brecha de seguridad de información biométrica.

Otro punto que aborda es el referente a que la identificación y autenticación biométrica es un sistema fuerte. Por definición, se considera que utilizar únicamente biometría constituye un proceso débil de identificación y autenticación. Sobre esto, el documento dice que, aunque en muchas ocasiones la autenticación biométrica requiere un proceso previo de identificación, si tras el proceso de identificación la autenticación es solo biométrica, seguiría siendo un sistema débil.

Estos son los grandes titulares/puntos del documento: 

-- La información biométrica se almacena en un algoritmo.
-- El uso de datos biométricos es igual de intrusivo que cualquier otro sistema de identificación/autenticación.
-- La identificación/autenticación biométrica es precisa.
-- La identificación/autenticación biométrica es suficientemente precisa para diferenciar siempre entre dos personas.
-- La identificación/ autenticación biométrica es adecuada para todas las personas.
-- El proceso de identificación/autenticación biométrica no se puede burlar.
-- La información biométrica no está expuesta.
-- Todo tratamiento biométrico implica identificación/autenticación.
-- Los sistemas de identificación/autenticación biométrica son más seguros para los usuarios.
-- La autenticación biométrica es fuerte.
-- La identificación/autenticación biométrica es más cómoda para el usuario.
-- La información biométrica convertida a un hash no es recuperable.
-- La información biométrica almacenada no permite reconstruir la información biométrica original de la que se ha extraído.
-- La información biométrica no es interoperable.