A pesar del carácter muy particular de dicha información, prácticamente no existen disposiciones legales en el mundo que sean específicas de la protección de datos biométricos. En cambio, los textos legales se basan en disposiciones relacionadas con la protección y la privacidad de datos personales en sentido amplio. Sin embargo, tal legislación a veces muestra estar mal adaptada a los datos biométricos, siempre y cuando consideremos que existe legislación alguna...
Para una visión general de la biometría, sugerimos nuestro dossier de 2017 sobre autenticación biométrica.
Los datos biométricos y la privacidad: Lo que dice la ley
Sin embargo, el Reglamento general de protección de datos (GDPR, por sus siglas en inglés) para los Estados miembros europeos aborda los datos biométricos y representa un importante avance en la protección de datos y la privacidad. Veintiocho países se ven afectados, incluido el Reino Unido. Veamos cómo el Reino Unido, Francia y los Países Bajos se preparan para esta nueva ley.
En los Estados Unidos, no existe una ley federal única e integral que regule la recopilación y el uso de datos biométricos. Sin embargo, Washington, después de Illinois y Texas, acaba de aprobar una ley de privacidad biométrica en junio de 2017. Claramente, los reguladores estadounidenses también se están centrando cada vez más en el uso de los datos biométricos.
En agosto de 2017, el Tribunal Supremo de la India determinó que la privacidad es un "derecho fundamental" en un caso histórico que ilustra que la protección de datos biométricos ahora está en un lugar privilegiado de la agenda de los reguladores de la democracia más grande del mundo.
Profundicemos.
En este dossier web nos centraremos en 5 temas:
- Los datos biométricos dentro del GDPR.
- Las disposiciones y los objetivos principales del GDPR (incluido un video).
- La preparación para el GDPR en tres países: Francia, los Países Bajos y el Reino Unido.
- El contexto legal de los Estados Unidos para la protección de datos biométricos.
- La India y el consenso emergente sobre la protección de datos biométricos.
La línea de tiempo del GDPR: 25 de mayo de 2018
La GDPR de la UE establece un marco armonizado dentro de la Unión Europea, el derecho a ser olvidado, el consentimiento claro y afirmativo y, entre otras cosas, sanciones graves por el incumplimiento de estas normas.
- El Reglamento 2012/0011 fue adoptado oficialmente el 27 de abril de 2016
- Entró en vigencia el 24 de mayo de 2016
- Los Estados miembros deben transponerlo a su legislación nacional antes del 6 de mayo de 2018
- Las disposiciones del Reglamento se aplicarán a partir del 25 de mayo de 2018.
Los gobiernos nacionales no tienen que aprobar una legislación habilitante. La nueva legislación reemplazará las leyes nacionales existentes. 
¿Qué son los datos biométricos para el reglamento de la UE?
La ley de privacidad de datos de la UE define los datos biométricos como "categorías especiales de datos personales" y prohíbe su "procesamiento", lo que protege a las personas de que su información se comparta con terceros sin su consentimiento.
Los datos biométricos son "datos personales que resultan de un procesamiento técnico específico relacionado con las características físicas, fisiológicas o de comportamiento de una persona física, que permite o confirma la identificación única de esa persona física, como imágenes faciales o datos dactiloscópicos"
Su procesamiento con el propósito de identificar de forma única a una persona física está prohibido.
Sin embargo, contiene algunas excepciones:
- Si el consentimiento ha sido dado explícitamente
- Si la información biométrica es necesaria para cumplir las obligaciones del controlador o del interesado en el ámbito del empleo, la seguridad social y la legislación de protección social
- Si es necesario para proteger los intereses vitales del individuo y él/ella es incapaz de dar su consentimiento
- Si es vital para cualquier reclamo legal
- Si es necesario por razones de interés público en el área de la salud pública
Además, el Reglamento permite a los Estados miembros introducir otras limitaciones en relación con el procesamiento de la información biométrica.
Los objetivos y las disposiciones principales del GDPR
El objetivo principal del texto es devolver al ciudadano europeo el control sobre sus datos personales, al tiempo que se simplifica el marco regulatorio para las empresas. Más concretamente, esto significa que después del 25 de mayo de 2018, solo habrá un conjunto de reglas directamente aplicables en todos los Estados miembros europeos con respecto a la protección de los datos personales.
Pero espere, hay más...
Los residentes de la UE obtendrán un mayor control de sus datos personales y biométricos.
El derecho a ser olvidado
El Reglamento establece que el consentimiento debe ser explícito antes de la recopilación de los datos. También explica que "el interesado tendrá derecho a retirar su consentimiento en cualquier momento", lo que se conoce como "el derecho a ser olvidado".
La filtración de datos debe ser notificada dentro de las 72 horas
El GDPR no solo establece un conjunto claro de derechos del consumidor, también incluye medidas destinadas a impulsar la seguridad empresarial. Por ejemplo, si una empresa descubre una filtración de datos, los procesadores deben informar a las autoridades dentro de las 72 horas posteriores al descubrimiento. Las compañías que manejan información biométrica podrían sufrir sanciones masivas si no se esfuerzan por asegurar esa información. Dichas sanciones podrían alcanzar los 20 millones de euros, o el 4% de la facturación mundial anual.
Una ley global
Y he aquí por qué esta ley tiene un verdadero impacto internacional...
Las organizaciones no pertenecientes a la UE estarán sujetas al GDPR cuando procesen datos personales sobre sujetos de la UE. Esto hace que el GDPR sea una ley global.
Privacidad desde el diseño y por default
El uso de datos debe limitarse a lo que sea necesario. El Reglamento establece que los datos personales se recopilarán para "fines específicos, explícitos y legítimos". No deberán procesarse adicionalmente "de manera incompatible con esos fines". Los datos personales recopilados deben ser adecuados, relevantes y estar limitados a lo que es necesario (el principio de minimización de datos).
El Reglamento establece que, por defecto, solo deben procesarse los datos personales que sean necesarios para un propósito específico. Para cumplir con este objetivo, el controlador debe implementar las medidas técnicas y organizativas necesarias. Esto significa que la protección de datos tendrá que diseñarse en el desarrollo de procesos comerciales para productos y servicios.
Con un claro enfoque en la biometría
Para que la seguridad biométrica funcione correctamente, los derechos de los ciudadanos deben protegerse adecuadamente y los datos recopilados por las organizaciones privadas y públicas deben manejarse con cuidado y sensatez. El nuevo GDPR se centra especialmente en la biometría, reconociendo claramente el inmenso potencial de la tecnología.
¿Qué significa el GDPR para las empresas?
Uno de los objetivos del GDPR es simplificar los requisitos para las empresas que trabajan en varios Estados miembros europeos.
Más precisamente, el GDPR establece una "ventanilla única" para las empresas que operan en varios países europeos. Solo tendrán que tratar con la Autoridad de Supervisión del país donde se encuentra su "establecimiento principal" (por ejemplo, el lugar donde se llevan a cabo las principales actividades de procesamiento). Esta Autoridad Supervisora desempeñará el papel de "autoridad principal" y supervisará todas las actividades de procesamiento de la empresa en la Unión Europea.
Además, una de las nuevas obligaciones más importantes es la designación de Oficiales de Protección de Datos (DPO, por sus siglas en inglés) en algunas compañías específicas (más de 250 empleados). El rol del DPO solo será verificar el cumplimiento de las actividades de la compañía en relación con el GDPR.
El Grupo de trabajo del artículo 29 (WP29) sobre protección de datos adoptó más detalles sobre los DPO el 13 de diciembre de 2016 en sus directrices sobre el tema.
En septiembre se anunció el proyecto de ley de protección de datos del Reino Unido que incorpora los datos biométricos
El GDPR se aplicará en el Reino Unido a partir del 25 de mayo de 2018
Por supuesto, algunas enmiendas post-Brexit son necesarias en cuanto al papel de la autoridad de supervisión del Reino Unido y su relación con las autoridades de la UE, por ejemplo.
Las notas del discurso de la Reina (página 46) subrayaron la importancia de mantener el flujo de datos de la UE después del Brexit para "consolidar la posición del Reino Unido a la vanguardia de la innovación técnica, el intercambio internacional de datos y la protección de los datos personales".
El proyecto de ley de protección de datos de septiembre
Ayudando a las partes interesadas
- Responsabilidad y gobernabilidad
- Áreas clave a considerar
- Derechos de las personas
- Notificación de filtración
- Transferencia de datos
Preparación para el GDPR en Francia: una consulta a las partes interesadas para identificar dificultades
En Francia, la autoridad supervisora del reglamento general de protección de datos es la Commission Nationale de l'Informatique et des Libertés (CNIL). La CNIL está profundamente involucrada en la preparación de la entrada en vigor de las disposiciones del Reglamento, mientras ocupa la Presidencia del WP29 hasta febrero de 2018.
La CNIL lanzó una consulta pública en Francia en junio de 2016 con respecto a los cuatro temas prioritarios identificados por el WP29:
- Nuevo derecho de portabilidad
- Noción de alto riesgo, y Evaluación de impacto de la protección de datos (DPIA, por sus siglas en inglés)
- Certificación
- Oficial de Protección de Datos
- Notificación de violaciones
- Consentimiento
- Elaboración de perfiles
Además, la "ley para una República digital" adoptada oficialmente por Francia el 8 de octubre de 2016 ya está allanando el camino para la entrada en vigor de las disposiciones del GDPR en el país.
Para ser precisos, esta ley crea nuevas obligaciones para las empresas de procesamiento de datos, en línea con el GDPR y, por ejemplo, permite a la CNIL imponer sanciones de hasta tres millones de euros. Es importante señalar que, después del 25 de mayo de 2018, se aplicarán las disposiciones del GDPR cuando exista un conflicto con las disposiciones de la "ley para una República digital".
Preparación del GDPR en los Países Bajos: un plan de 10 pasos para preparar a los interesados
En los Países Bajos, la Autoridad de Supervisión del GDPR es el Autoriteit Persoonsgegevens (AP). El AP, cuyos poderes se fortalecerán con el nuevo Reglamento, está comenzando a prepararse para la entrada en vigor de sus disposiciones.
Para ayudar a las empresas con sede en los Países Bajos a prepararse para la introducción del GDPR en mayo de 2018, el AP se ha declarado a sí mismo disponible para responder todas las preguntas por teléfono o correo electrónico.
- Conciencia
- Derechos de las personas
- Registros de actividades de procesamiento
- Evaluación del impacto de la privacidad (PIA)
- Privacidad desde el diseño y privacidad por defecto
- Oficial de Protección de Datos (DPO)
- Deberes de notificación de filtración de datos
- Acuerdos de procesamiento de datos
- Autoridad supervisora principal
- Consentimiento
Actualmente, las principales leyes de protección de datos en los Países Bajos son:
- La "Ley holandesa de protección de datos (WBP)" que implementó en la legislación nacional la Directiva de Protección de Datos de la Unión Europea 95/46/EC el 1 de septiembre de 2001.
- La "Ley de Notificación de Filtración" de 2016. Está allanando el camino para algunas disposiciones del GDPR, ya que establece que una filtración de datos debe ser informada al AP y que los interesados deben ser informados sobre una filtración de datos si pudiera tener consecuencias para su privacidad.
Protección de datos biométricos en los Estados Unidos
En los Estados Unidos, no existe una ley federal única e integral que regule la recopilación y el uso de los datos personales en general, o de los datos biométricos en particular. En cambio, el país tiene un sistema de parches de leyes y regulaciones federales y estatales que a veces pueden superponerse o contradecirse entre sí.
Pero eso no es todo…
Las agencias gubernamentales y los grupos industriales han desarrollado pautas de autorregulación, extraídas de las mejores prácticas y que ahora son tenidas en cuenta por los reguladores.
Apple, Facebook, Google y Microsoft se han autoregulado durante algún tiempo, a pesar de que estas compañías han estado invirtiendo fuertemente en la creación de poderosas tecnologías de reconocimiento facial. Facebook, por ejemplo, tiene un acuerdo con la Comisión Federal de Comercio, por el cual la empresa primero debe obtener el "consentimiento expreso afirmativo" antes de ir más allá de la configuración de privacidad especificada por un usuario. Según Wikipedia, se dice que DeepFace, el sistema de reconocimiento facial de Facebook, es un 97% preciso. Eso se compara con el 85% del Sistema de identificación de próxima generación del FBI.
Identificación sin consentimiento en 47 estados
A partir de julio de 2017, es legal en 47 estados que el software identifique a un individuo a través de imágenes tomadas sin consentimiento mientras está en público. Illinois y Texas no lo permiten para uso comercial.
A partir de junio de 2017, Washington fue el tercer estado en aprobar una ley de privacidad biométrica. Cubre cualquier entidad comercial que recolecta identificadores biométricos con fines comerciales.
El reconocimiento facial, por ejemplo, se puede realizar discretamente a distancia sin que el individuo proporcione información activamente.
Ya existe una aplicación de software de reconocimiento facial que las tiendas pueden usar para señalar ladrones previamente identificados o para identificar clientes que devuelven productos con demasiada frecuencia. Y no se necesita mucho para imaginar que, gracias a Facebook, estas tiendas podrían obtener fácilmente información inmediata sobre sus clientes cuando ingresen a la tienda: quiénes son, dónde viven, puntaje de ingresos y/o crédito.
Desde una perspectiva de privacidad, estas prácticas entran en conflicto con principios clave como el anonimato, el consentimiento y el propósito.
Vayamos un poco más profundo.
Muchos interesados abordan el problema
La cuestión del consentimiento y la forma de administrar los datos biométricos es delicada, y parece que prácticamente todas las agencias de Washington abordan, al menos, parte del problema:
- El Instituto Nacional de Estándares y Tecnología para la evaluación de tecnologías biométricas.
- La Comisión Federal de Comercio para la seguridad de los datos con la Ley FTC (15 U.S.C. §§41-58). Esta ley de protección del consumidor prohíbe prácticas desleales o engañosas. Se ha aplicado a las políticas de seguridad de datos y privacidad fuera de línea y en línea.
- La Administración de Alimentos y Medicamentos para la seguridad de los implantes.
- El Departamento de Salud y Servicios Humanos con la Ley de Responsabilidad y Portabilidad de Seguros Médicos (42 U.S.C. §1301 et seq.) para información médica. La Regla de Privacidad HIPAA de 2003 regula el uso y la divulgación de Información de Salud Protegida (PHI) en poder de " entidades cubiertas". Pueden divulgar información de salud protegida a los funcionarios encargados de hacer cumplir la ley para fines policiales y solicitudes administrativas; o para identificar o localizar a un sospechoso, fugitivo, testigo material o persona desaparecida.
Tres estados han promulgado una ley de protección para identificadores biométricos y varios otros están debatiendo sobre una posible ley.
En particular, la legislatura de California debatió un proyecto de ley en 2015-2016 que habría ampliado los requisitos de seguridad de datos para las empresas que mantienen información personal de los residentes de California para incluir protección para la geolocalización y los datos biométricos.
La información biométrica se definió en el proyecto de ley como datos generados por mediciones automáticas de huellas dactilares, impresiones de voz, retina o iris de un individuo, que identifican información de ADN o características faciales únicas, que el propietario o licenciatario utiliza para autenticar de forma única la identidad de un individuo. Sin embargo, el proyecto de ley no fue aprobado por el Comité Judicial del Senado.
Sin embargo, queda claro que los reguladores estadounidenses se están centrando cada vez más en el uso de datos biométricos.
India y el consenso mundial emergente sobre protección de datos biométricos
El 24 de agosto de 2017, en un caso histórico, la India dejó en claro que el Tribunal Supremo dictaminó que la privacidad era un "derecho fundamental". Esta decisión podría afectar el programa de identificación biométrica del país conocido como Aadhaar.
Thales y la seguridad digital
Thales, un experto en identificación robusta con más de 200 proyectos de documentos de identidad civil, registro de población y aplicación de la ley que incorporan la biometría, puede actuar como autoridad independiente y proponer y recomendar la solución más adecuada para cada aplicación.
Thales otorga gran importancia a la evaluación de riesgos y a la capacidad de los operadores privados de gestionar dichos riesgos. Del mismo modo, las implicancias legales y sociales también son muy importantes.
Aunque Thales mantiene una mente abierta con respecto a las técnicas biométricas, no deja de estar convencido de que, sea cual sea la opción de biometría, esta tecnología ofrece importantes beneficios para garantizar la identidad.