El mito de la popularidad de los datos biométricos
En los últimos años en nuestro país se ha popularizado el uso de datos biométricos tanto en el sector público como privado. Por ello, habría que establecer primero que la biometría digital aplicada al ser humano es una técnica que permite identificar la identidad de las personas a través de medidas y rasgos específicos obtenidos de las características físicas y de comportamiento de esas personas.
El funcionamiento de los sistemas biométricos se basa en el reconocimiento (identificación) y en la autenticación (verificación) de la identidad. Los de reconocimiento utilizan un dato y lo comparan con una lista o base de datos, el ejemplo más común son las bases criminales. Mientras que los sistemas biométricos de autenticación sólo utilizan un dato comparándolo con el mismo dato previamente almacenado, como es el caso de las bases migratorias.
No todas las características físicas y de comportamiento por sí mismas pueden ser usadas en sistemas biométricos. Y, en algunos casos, los sistemas biométricos podrían necesitar dos o más datos a esto se le denomina sistemas de combinación biométrica. Tal es el caso, por ejemplo, el tipo de sangre, el factor RH, el peso, la estatura, color de piel, poros de la piel, ninguno por sí mismo identifica a una persona específicamente. Pero, si realizamos la combinación de dos o más datos biométricos se puede reconocer y autenticar a la persona. Por lo que solicitar las 10 huellas dactilares (cada una de las huellas dactilares es diferente), el iris, el rostro y la firma es un exceso de información personal para un documento biométrico, ya sea para una licencia de conducir, una credencial de elector o un documento de identidad.
Ahora bien, la mayoría de los países que utilizan documentos biométricos cuentan además de leyes de protección de datos personales, con leyes sobre bases de datos automatizadas o electrónicas e incluso sobre sistematización de la información y flujo transfronterizo de datos. En algunos otros, es posible encontrar legislación específica y autoridades reguladoras en materia de biometría digital. Y no digamos del nivel de ética pública, el cual es elevado. No cualquiera puede arreglar una falla técnica en el flujo o almacenamiento de información. El personal restringido para acceso a la base de datos es sometido a niveles altos de confianza y firma de contratos respecto a responsabilidad y sanciones por la violación de estos.
Si eso no fuera suficiente, en esos mismos países el robo, venta, acceso y cancelación no autorizado a las bases de datos personales se encuentran tipificadas como delito grave, ligado a daño moral e indemnizaciones por estrés o daños sicológicos, ya que se puede llegar a perder la identidad. Recuperarla exige trámites burocráticos, pruebas médicas y legales.
Un punto delicado en nuestro país es el gran número de bases de datos biométricas que se han estado generando. La sola creación de una base de datos biométrica supone una planeación no solo de diseño tecnológico (para hacerla centralizada o descentralizada), sino también para la evaluación de impacto que se debe presentar ante los órganos estatales de protección de datos personales y en su caso, ante el INAI. Además, supone una inversión económica en cuanto a la seguridad de la información para proteger la información biométrica contenida en diferentes bases de datos o en una sola base de datos. Aunado a lo anterior, se debe capacitar a todo el personal en materia de protección de datos personales y contar con sus documentos de seguridad. Por eso en el caso del sector público es un desperdicio de recursos públicos que cada entidad cuente con una base de datos biométricos, independientemente de lo que implica para la persona estar dando sus datos para cada servicio, trámite o beneficio social.
No importa si es el gimnasio de la esquina de mi casa o el Poder Judicial, quien recolecte, almacene y/o comparta información personal incluida la biométrica debe contar con un análisis de riesgos y medidas de seguridad en los tratamientos de datos personales. El análisis no es otra cosa más que una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación. Pues la información personal debe mantenerse en confidencialidad, integridad y disponibilidad.
Se debe realizar la precisión de que contar con un documento o una base de datos biométrica no significa necesariamente que se cuente con un documento de identidad digital. La identidad digital es la identidad utilizada exclusivamente en el ámbito electrónico, por los sistemas informáticos; la identidad digital debe coincidir sin margen de error con la identidad del mundo real.
La identidad digital puede ser la herramienta de autenticación o token que se utiliza de forma generalizada en diferentes organizaciones o instituciones. La gente puede referirse a su pasaporte, credencial del INE, licencia de conducir (sea o no biométrica), cédula profesional (sea electrónica o no) como su documento de identificación; después tenemos el RFC y el CURP. Este doble significado puede crear cierta confusión, especialmente cuando múltiples «identidades digitales» corresponden a la misma «identidad digital»; es decir, tienes varios tokens de autenticación que puedes utilizar para devolver el mismo conjunto de atributos que te identifican, que es exactamente la situación que tenemos en México.
Claro, con la entrada de la Cédula Única de Identidad Digital no sería necesario contar con un Padrón Nacional de Usuarios de Telefonía Móvil, ni con una credencial de elector, ni cédula profesional, pues la Cédula contará con el CURP, nombre completo, fecha de nacimiento, entidad federativa, nacionalidad y los datos biométricos: firma, huella dactilar, iris y voz, así como la posibilidad de adicionar información relativa a la profesión del individuo, licencia, situación fiscal y demás.
Finalmente, contar con un documento biométrico (ID-national card) puede brindarnos un sinfín de ventajas como sociedad y abrirnos un abanico amplio de oportunidades siempre que se consideren los riesgos y se respete el marco jurídico en materia de protección de datos personales.
Deja una respuesta