• Gemalto ahora es parte del Grupo Thales, descubra más.

Los datos biométricos y el Reglamento general de protección de datos


​​​​​​​​​​​​​​​​​​​​​​​​​​​​Biometric Data

A pesar del carácter muy particular de dicha información, prácticamente no existen disposiciones legales en el mundo que sean específicas de la protección de datos biométricos. En cambio, los textos legales se basan en disposiciones relacionadas con la protección y la privacidad de datos personales en sentido amplio. Sin embargo, tal legislación a veces muestra estar mal adaptada a los datos biométricos, siempre y cuando consideremos que existe legislación alguna...

Para una visión general de la biometría, sugerimos nuestro dossier de 2017 sobre autenticación biométrica.

Los datos biométricos y la privacidad: Lo que dice la ley

Sin embargo, el Reglamento general de protección de datos (GDPR, por sus siglas en inglés) para los Estados miembros europeos aborda los datos biométricos y representa un importante avance en la protección de datos y la privacidad. Veintiocho países se ven afectados, incluido el Reino Unido. Veamos cómo el Reino Unido, Francia y los Países Bajos se preparan para esta nueva ley.

En los Estados Unidos, no existe una ley federal única e integral que regule la recopilación y el uso de datos biométricos. Sin embargo, Washington, después de Illinois y Texas, acaba de aprobar una ley de privacidad biométrica en junio de 2017. Claramente, los reguladores estadounidenses también se están centrando cada vez más en el uso de los datos biométricos.

En agosto de 2017, el Tribunal Supremo de la India determinó que la privacidad es un "derecho fundamental" en un caso histórico que ilustra que la protección de datos biométricos ahora está en un lugar privilegiado de la agenda de los reguladores de la democracia más grande del mundo.

Profundicemos.

En este dossier web nos centraremos en 5 temas:

  • Los datos biométricos dentro del GDPR.
  • Las disposiciones y los objetivos principales del GDPR (incluido un video).​
  • La preparación para el GDPR en tres países: Francia, los Países Bajos y el Reino Unido.
  • El contexto legal de los Estados Unidos para la protección de datos biométricos.
  • La India y el consenso emergente sobre la protección de datos biométricos.

​La línea de tiempo del GDPR: 25 de mayo de 2018​

​ La GDPR de la UE establece un marco armonizado dentro de la Unión Europea, el derecho a ser olvidado, el consentimiento claro y afirmativo y, entre otras cosas, sanciones graves por el incumplimiento de estas normas.​

  • El  Reglamento 2012/0011 fue adoptado oficialmente el 27 de abril de 2016
  • Entró en vigencia el 24 de mayo de 2016
  • Los Estados miembros deben transponerlo a su legislación nacional antes del 6 de mayo de 2018
  • ​​Las disposiciones del Reglamento se aplicarán a partir del 25 de mayo de 2018. 

​​Los gobiernos nacionales no tienen que aprobar una legislación habilitante. La nueva legislación reemplazará las leyes nacionales existentes. Biometric information
¿Qué son los datos biométricos para el reglamento de la UE?​​​​

La ley de privacidad de datos de la UE define los datos biométricos como "categorías especiales de datos personales" y prohíbe su "procesamiento", lo que protege a las personas de que su información se comparta con terceros sin su consentimiento.

Los datos biométricos son "datos personales que resultan de un procesamiento técnico específico relacionado con las características físicas, fisiológicas o de comportamiento de una persona física, que permite o confirma la identificación única de esa persona física, como imágenes faciales o datos dactiloscópicos"

Su procesamiento con el propósito de identificar de forma única a una persona física está prohibido.​

Sin embargo, contiene algunas excepciones:

  • ​​Si el consentimiento ha sido dado explícitamente
  • Si la información biométrica es necesaria para cumplir las obligaciones del controlador o del interesado en el ámbito del empleo, la seguridad social y la legislación de protección social
  • Si es necesario para proteger los intereses vitales del individuo y él/ella es incapaz de dar su consentimiento
  • Si es vital para cualquier reclamo legal
  • Si es necesario por razones de interés público en el área de la salud pública

​Además, el Reglamento permite a los Estados miembros introducir otras limitaciones en relación con el procesamiento de la información biométrica. ​

Los objetivos y las disposiciones principales del GDPR

El objetivo principal del texto es devolver al ciudadano europeo el control sobre sus datos personales, al tiempo que se simplifica el marco regulatorio para las empresas. Más concretamente, esto significa que después del 25 de mayo de 2018, solo habrá un conjunto de reglas directamente aplicables en todos los Estados miembros europeos con respecto a la protección de los datos personales. 

Pero espere, hay más...

Los residentes de la UE obtendrán un mayor control de sus datos personales y biométricos. 

El derecho a ser olvidado

El Reglamento establece que el consentimiento debe ser explícito antes de la recopilación de los datos. También explica que "el interesado tendrá derecho a retirar su consentimiento en cualquier momento", lo que se conoce como "el derecho a ser olvidado". ​

La filtración de datos debe ser notificada dentro de las 72 horas

El GDPR no solo establece un conjunto claro de derechos del consumidor, también incluye medidas destinadas a impulsar la seguridad empresarial. Por ejemplo, si una empresa descubre una filtración de datos, los procesadores deben informar a las autoridades dentro de las 72 horas posteriores al descubrimiento. Las compañías que manejan información biométrica podrían sufrir sanciones masivas si no se esfuerzan por asegurar esa información. Dichas sanciones podrían alcanzar los 20 millones de euros, o el 4% de la facturación mundial anual.

Una ley global

Y he aquí por qué esta ley tiene un verdadero impacto internacional...

Las organizaciones no pertenecientes a la UE estarán sujetas al GDPR cuando procesen datos personales sobre sujetos de la UE. Esto hace que el GDPR sea una ley global.​

Privacidad desde el diseño y por default

El uso de datos debe limitarse a lo que sea necesario. El Reglamento establece que los datos personales se recopilarán para "fines específicos, explícitos y legítimos". No deberán procesarse adicionalmente "de manera incompatible con esos fines". Los datos personales recopilados deben ser adecuados, relevantes y estar limitados a lo que es necesario (el principio de minimización de datos).

​El Reglamento establece que, por defecto, solo deben procesarse los datos personales que sean necesarios para un propósito específico. Para cumplir con este objetivo, el controlador debe implementar las medidas técnicas y organizativas necesarias. Esto significa que la protección de datos tendrá que diseñarse en el desarrollo de procesos comerciales para productos y servicios.

Con un claro enfoque en la biometría

Para que la seguridad biométrica funcione correctamente, los derechos de los ciudadanos deben protegerse adecuadamente y los datos recopilados por las organizaciones privadas y públicas deben manejarse con cuidado y sensatez. El nuevo GDPR se centra especialmente en la biometría, reconociendo claramente el inmenso potencial de la tecnología.​

​​¿Qué significa el GDPR para las empresas?

Uno de los objetivos del GDPR es simplificar los requisitos para las empresas que trabajan en varios Estados miembros europeos.​

Más precisamente, el GDPR establece una "ventanilla única" para las empresas que operan en varios países europeos. Solo tendrán que tratar con la Autoridad de Supervisión del país donde se encuentra su "establecimiento principal" (por ejemplo, el lugar donde se llevan a cabo las principales actividades de procesamiento). Esta Autoridad Supervisora desempeñará el papel de "autoridad principal" y supervisará todas las actividades de procesamiento de la empresa en la Unión Europea.​

Además, una de las nuevas obligaciones más importantes es la designación de Oficiales de Protección de Datos (DPO, por sus siglas en inglés) en algunas compañías específicas (más de 250 empleados). El rol del DPO solo será verificar el cumplimiento de las actividades de la compañía en relación con el GDPR.​

El Grupo de trabajo del artículo 29 (WP29) sobre protección de datos adoptó más detalles sobre los DPO el 13 de diciembre de 2016 en sus directrices​ sobre el tema.

Ahora, veamos cómo el Reino Unido, Francia y los Países Bajos se están preparando para el GDPR.​

En septiembre se anunció el proyecto de ley de protección de datos del Reino Unido que incorpora los datos biométricos

​El GDPR se aplicará en el Reino Unido a partir del 25 de mayo de 2018​

En junio de 2017, el gobierno británico presentó su programa legislativo para los próximos dos años, el cual coloca al GDPR en la legislación del Reino Unido y al país en línea con la UE. La decisión del Reino Unido de abandonar la UE no está afectando la implementación del GDPR. ​

Por supuesto, algunas enmiendas post-Brexit son necesarias en cuanto al papel de la autoridad de supervisión del Reino Unido y su relación con las autoridades de la UE, por ejemplo.

Las notas del discurso de la Reina​ (página 46) subrayaron la importancia de mantener el flujo de datos de la UE después del Brexit para "consolidar la posición del Reino Unido a la vanguardia de la innovación técnica, el intercambio internacional de datos y la protección de los datos personales". ​

El proyecto de ley de protección de datos de septiembre

El 14 de septiembre de 2017, el proyecto de ley de protección de datos se publicó en el Reino Unido. El objetivo de esta legislación es modernizar la ley de protección de datos en el Reino Unido para los próximos años. 

Sin embargo, es importante señalar que el GDPR se aplicará en el Reino Unido a partir del 25 de mayo de 2018. El proyecto de ley de protección de datos solo se aplicará cuando el GDPR deje a los Estados miembros la oportunidad de tomar medidas sobre cómo se aplica en su país. 

El Proyecto de Ley de Protección de Datos también se refiere a otros temas, además de las disposiciones del GDPR. La Oficina del Comisionado de Información (ICO, por sus siglas en inglés), la Autoridad de Protección de Datos del Reino Unido, explicó que es importante leer el GDPR y el proyecto de ley de Protección de Datos uno al lado del otro. 

Ayudando a las partes interesadas 

Además, la Autoridad de Protección de Datos del Reino Unido está ayudando a las partes interesadas a prepararse para la entrada en vigor del GDPR, mediante la publicación de un plan de preparación de 12 pasos​​​. La ICO también publicó una lista de verificación con el objetivo de ayudar a los interesados a evaluar su preparación para la implementación del GDPR. Esta lista de verificación, basada en el plan de preparación, se compone de cinco temas principales: ​
  • Responsabilidad y gobernabilidad
  • Áreas clave a considerar
  • Derechos de las personas
  • Notificación de filtración
  • Transferencia de datos​

GDPR France ​​

Preparación para el GDPR en Francia: una consulta a las partes interesadas para identificar dificultades

En Francia, la autoridad supervisora del reglamento general de protección de datos es la Commission Nationale de l'Informatique et des Libertés (CNIL). La CNIL está profundamente involucrada en la preparación de la entrada en vigor de las disposiciones del Reglamento, mientras ocupa la Presidencia del WP29 hasta febrero de 2018. 

La CNIL lanzó una consulta pública en Francia en junio de 2016 con respecto a los cuatro temas prioritarios identificados por el WP29: 

  • Nuevo derecho de portabilidad
  • Noción de alto riesgo, y Evaluación de impacto de la protección de datos (DPIA, por sus siglas en inglés)
  • Certificación
  • Oficial de Protección de Datos  
En marzo de 2017, se lanzó otra consulta sobre otros tres temas identificados por el WP29: 
  • Notificación de violaciones
  • Consentimiento 
  • Elaboración de perfiles
El objetivo de estas consultas públicas fue obtener comentarios de los diversos actores que trabajan en el campo del procesamiento de datos e identificar sus dificultades con respecto al nuevo reglamento. La CNIL publicó sus primeros resúmenes (I y II) de las respuestas recibidas. Estas consultas tienen como objetivo contribuir a las directrices temáticas publicadas por el WP29.
El WP29 está compuesto por un representante de la autoridad de protección de datos de cada Estado miembro de la UE, el Supervisor Europeo de Protección de Datos y la Comisión Europea.

Se lanzó una nueva consulta el 19 de septiembre de 2017 hasta el 19 de octubre. 

Su objetivo es identificar problemas relacionados con la transferencia internacional de datos y la transparencia. Sus resultados se publicarán pronto.

La CNIL sigue alentando a las partes interesadas a que describan sus dificultades y formulen preguntas sobre la entrada en vigor del GDPR a través de su sitio web. 

Además, la "ley para una República digital" adoptada oficialmente por Francia el 8 de octubre de 2016 ya está allanando el camino para la entrada en vigor de las disposiciones del GDPR en el país. 

Para ser precisos, esta ley crea nuevas obligaciones para las empresas de procesamiento de datos, en línea con el GDPR y, por ejemplo, permite a la CNIL imponer sanciones de hasta tres millones de euros. Es importante señalar que, después del 25 de mayo de 2018, se aplicarán las disposiciones del GDPR cuando exista un conflicto con las disposiciones de la "ley para una República digital".​

GDPR in the Netherlands  

Preparación del GDPR en los Países Bajos: un plan de 10 pasos para preparar a los interesados

En los Países Bajos, la Autoridad de Supervisión del GDPR es el Autoriteit Persoonsgegevens (AP). El AP, cuyos poderes se fortalecerán con el nuevo Reglamento, está comenzando a prepararse para la entrada en vigor de sus disposiciones. 

Para ayudar a las empresas con sede en los Países Bajos a prepararse para la introducción del GDPR en mayo de 2018, el AP se ha declarado a sí mismo disponible para responder todas las preguntas por teléfono o correo electrónico. 

Además, a partir de junio de 2017, el AP va a publicar en su sitio web las respuestas a las tres preguntas más frecuentes sobre la implementación del GDPR.​

Además, el AP publicó en abril de 2017 un plan paso a paso con el objetivo de ayudar a los interesados a prepararse para el GDPR. Este plan se compone de 10 pasos:​​
  1. Conciencia
  2. Derechos de las personas
  3. Registros de actividades de procesamiento
  4. Evaluación del impacto de la privacidad (PIA)
  5. Privacidad desde el diseño y privacidad por defecto
  6. Oficial de Protección de Datos (DPO)
  7. Deberes de notificación de filtración de datos
  8. Acuerdos de procesamiento de datos
  9. Autoridad supervisora principal
  10. Consentimiento​

Actualmente, las principales leyes de protección de datos en los Países Bajos son:​​

  • La "Ley holandesa de protección de datos (WBP)" que implementó en la legislación nacional la Directiva de Protección de Datos de la Unión Europea 95/46/EC​ el 1 de septiembre de 2001. 
  • La "Ley de Notificación de Filtración" de 2016. Está allanando el camino para algunas disposiciones del GDPR, ya que establece que una filtración de datos debe ser informada al AP y que los interesados deben ser informados sobre una filtración de datos si pudiera tener consecuencias para su privacidad.

​Protección de datos biométricos en los Estados Unidos


Biometric data protection in the United States 

​En los Estados Unidos, no existe una ley federal única e integral que regule la recopilación y el uso de los datos personales en general, o de los datos biométricos en particular. En cambio, el país tiene un sist​ema de parches de leyes y regulaciones federales y estatales que a veces pueden superponerse o contradecirse entre sí.​​

Pero eso no es todo…

Las agencias gubernamentales y los grupos industriales han desarrollado pautas de autorregulación, extraídas de las mejores prácticas y que ahora son tenidas en cuenta por los reguladores. 

Apple, Facebook, Google y Microsoft se han autoregulado durante algún tiempo, a pesar de que estas compañías han estado invirtiendo fuertemente en la creación de poderosas tecnologías de reconocimiento facial. Facebook, por ejemplo, tiene un acuerdo con la Comisión Federal de Comercio, por el cual la empresa primero debe obtener el "consentimiento expreso afirmativo" antes de ir más allá de la configuración de privacidad especificada por un usuario. Según Wikipedia, se dice que DeepFace, el sistema de reconocimiento facial de Facebook, es un 97% preciso. Eso se compara con el 85% del Sistema de identificación de próxima generación del FBI.

Identificación sin consentimiento en 47 estados

A partir de julio de 2017, es legal en 47 estados que el software identifique a un individuo a través de imágenes tomadas sin consentimiento mientras está en público. Illinois y Texas no lo permiten para uso comercial. 

A partir de junio de 2017, Washington fue el tercer estado en aprobar una ley de privacidad biométrica. Cubre cualquier entidad comercial que recolecta identificadores biométricos con fines comerciales.

El reconocimiento facial, por ejemplo, se puede realizar discretamente a distancia sin que el individuo proporcione información activamente.

Ya existe una aplicación de software de reconocimiento facial que las tiendas pueden usar para señalar ladrones previamente identificados o para identificar clientes que devuelven productos con demasiada frecuencia. Y no se necesita mucho para imaginar que, gracias a Facebook, estas tiendas podrían obtener fácilmente información inmediata sobre sus clientes cuando ingresen a la tienda: quiénes son, dónde viven, puntaje de ingresos y/o crédito.

Desde una perspectiva de privacidad, estas prácticas entran en conflicto con principios clave como el anonimato, el consentimiento y el propósito.

Vayamos un poco más profundo.​

 

Muchos interesados abordan el problema

La cuestión del consentimiento y la forma de administrar los datos biométricos es delicada, y parece que prácticamente todas las agencias de Washington abordan, al menos, parte del problema:

  • El Instituto Nacional de Estándares y Tecnología para la evaluación de tecnologías biométricas.
  • La Comisión Federal de Comercio para la seguridad de los datos con la Ley FTC (15 U.S.C. §§41-58​). Esta ley de protección del consumidor prohíbe prácticas desleales o engañosas. Se ha aplicado a las políticas de seguridad de datos y privacidad fuera de línea y en línea.​
  • La Administración de Alimentos y Medicamentos para la seguridad de los implantes.
  • El Departamento de Salud y Servicios Humanos con la Ley de Responsabilidad y Portabilidad de Seguros Médicos (42 U.S.C. §1301 et seq.) para información médica. La Regla de Privacidad HIPAA de 2003 regula el uso y la divulgación de Información de Salud Protegida (PHI) en poder de " entidades cubiertas". Pueden divulgar información de salud protegida a los funcionarios encargados de hacer cumplir la ley para fines policiales y solicitudes administrativas; o para identificar o localizar a un sospechoso, fugitivo, testigo material o persona desaparecida.

Tres estados han promulgado una ley de protección para identificadores biométricos y varios otros están debatiendo sobre una posible ley.

En particular, la legislatura de California debatió un proyecto de ley en 2015-2016 que habría ampliado los requisitos de seguridad de datos para las empresas que mantienen información personal de los residentes de California para incluir protección para la geolocalización y los datos biométricos.

La información biométrica se definió en el proyecto de ley como datos generados por mediciones automáticas de huellas dactilares, impresiones de voz, retina o iris de un individuo, que identifican información de ADN o características faciales únicas, que el propietario o licenciatario utiliza para autenticar de forma única la identidad de un individuo. Sin embargo, el proyecto de ley no fue aprobado por el Comité Judicial del Senado.

Sin embargo, queda claro que los reguladores estadounidenses se están centrando cada vez más en el uso de datos biométricos.

India and the emerging global consensus on biometric data protection​ 

India y el consenso mundial emergente sobre protección de datos biométricos​

El 24 de agosto de 2017, en un caso histórico, la India dejó en claro que el Tribunal Supremo dictaminó que la privacidad era un "derecho fundamental". Esta decisión podría afectar el programa de identificación biométrica del país conocido como Aadhaar.​

La privacidad exige una rigurosa responsabilidad. Estamos viendo el surgimiento de un consenso global, su principio fundamental es que la mala gestión de la información personal no será tolerada y que las empresas que no protejan los datos de manera adecuada podrían recibir grandes multas.

Esperemos que estas nuevas leyes y regulaciones puedan seguir el ritmo del cambio digital.

​Gemalto y la seguridad digital

Gemalto, un experto en identificación robusta con más de 200 proyectos de documentos de identidad civil, registro de población y aplicación de la ley que incorporan la biometría, puede actuar como autoridad independiente y proponer y recomendar la solución más adecuada para cada aplicación.

Gemalto otorga gran importancia a la evaluación de riesgos y a la capacidad de los operadores privados de gestionar dichos riesgos. Del mismo modo, las implicancias legales y sociales también son muy importantes.

Aunque Gemalto mantiene una mente abierta con respecto a las técnicas biométricas, no deja de estar convencido de que, sea cual sea la opción de biometría, esta tecnología ofrece importantes beneficios para garantizar la identidad.

Para una visión más amplia de las leyes de privacidad, recomendamos la lectura deGlobal Tables of Data Privacy Laws and Bills, en español, Tablas globales de leyes y proyectos de ley de privacidad de datos (edición 2017) de Graham Greenleaf, Facultad de derecho de la Universidad de Nueva Gales del Sur.
También puede encontrar más información en nuestro dossier web de abril de 2017: eIDAS Regulation in 2017 – A pivotal year for digital services in the EU., en español, el Reglamento eIDAS en 2017 - un año clave para los servicios digitales en la UE.

​​