Mejorar y aumentar la eficiencia de cualquier tipo de proceso es una de las tendencias más notorias de la Revolución Digital; sin embargo, ello trae consigo retos en la protección de las personas y del bien más importante hoy en día, la información.

Así, con el avance de los desarrollos tecnológicos, día con día contamos con la posibilidad de utilizar mecanismos más seguros para la realización de nuestras labores cotidianas como son el uso de dispositivos electrónicos, el acceso a determinados lugares o la realización de operaciones bancarias, entre otros.

Uno de estos mecanismos es la utilización de los datos biométricos de cada persona; es decir, en las propiedades físicas, fisiológicas, de comportamiento o rasgos de la personalidad, atribuibles a una sola persona y que son medibles. Es como la mejor radiografía personal.

Los datos biométricos, en general, cumplen con cuatro características principales: son universales, toda vez que todos contamos con ellos; son únicos e intransferibles, ya que no existe duplicidad y por ende nos distingue como individuos; son permanentes, pues se mantienen por regla general a lo largo del tiempo en cada persona, y son medibles de forma cuantitativa.

Entre algunos datos biométricos destacan la huella digital; el rostro (reconocimiento facial); la retina y el iris; la geometría de la mano o los dedos; la estructura de las venas de la mano; el contorno de las orejas; la piel o textura de la superficie dérmica; el ADN; la composición química del olor corporal y el patrón vascular; la pulsación cardiaca; la firma autógrafa, la escritura y la voz; la forma de oprimir un teclado; la forma de caminar, etc.

Los sistemas que utilizan datos biométricos para la identificación de personas realizan esta tarea a través de un proceso de identificación o de verificación, consistentes en la comparación entre muestras biométricas, una previamente recolectada y una posterior.

En este proceso se pueden identificar cinco fases en las cuales es posible que se lleve a cabo el tratamiento de datos personales:

  1. 1. Registro, que se refiere a la recolección de la muestra;
  2. 2. Conversión, proceso en que la muestra biométrica pasa a ser una plantilla;
  3. 3. Almacenamiento, que permite guardar la plantilla generada;
  4. 4. Comparación, la nueva plantilla obtenida es comparada con la previamente registrada;
  5. 5. Decisión, consiste en el proceso de verificación o identificación derivada del proceso de comparación.

Ahora bien, los datos biométricos utilizados por estos sistemas son catalogados por la regulación mexicana, como datos personales, porque reúnen al menos dos condiciones para identificar un dato personal:

  1. 1. Que se refiere a una persona física, y
  2. 2. Que identifica o hace identificable a su titular.

De tal forma que, los datos biométricos, al ser características o rasgos atribuibles a una persona y son medibles, cumplen con el primer requisito para ser considerados como un dato personal.

Sin embargo, para el segundo requisito se debe distinguir ya que hay algunos datos biométricos que por sí mismos identifican a una persona; sin embargo, existen otros que requieren de un procesamiento o de información adicional para poder reconocer al titular.

Ante esta tendencia cada vez mayor del uso de datos biométricos para la identificación de personas el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) emitió una Guía para el Tratamiento de Datos Biométricos, en la cual emite una serie de recomendaciones con el fin de velar por la protección de los principios rectores de la protección de datos, y que son: licitud, lealtad, información, consentimiento, finalidad, proporcionalidad, calidad y responsabilidad.

Para la adecuada protección de dichos principios los sujetos obligados por la normatividad mexicana tienen una serie de obligaciones, tales como:

  • - Conocer la regulación en la materia, para que puedan tratar los datos de manera adecuada.
  • - Contar con un aviso de privacidad, elemento esencial con el que deben contar los sujetos obligados, a través del cual le comuniquen al titular de los datos los datos biométricos que se recaban, así como su tipo, y en su caso si se trata de datos sensibles, los medios a través de los cuales recabarán los datos, las finalidades para las cuales se utilizarán privilegiando en todo momento los intereses del titular.
  • - Poner a disposición del titular el aviso de privacidad en cada ocasión que se recabe un dato biométrico.
  • - Establecerse mecanismos adecuados para recabar el consentimiento de los titulares respecto al tratamiento de sus datos biométricos, el cual podrá ser tácito, expreso o expreso por escrito dependiendo del tipo de dato que se recabe.

Por otra parte, es importante señalar que el responsable de los datos solamente podrá utilizarlos para aquellas finalidades expresadas en el aviso de privacidad, teniendo prohibido condicionar el tratamiento principal a uno secundario.

Al realizarse transferencias de datos personales, los responsables deben informar a los titulares, e igualmente recabar el consentimiento para ello en caso de que el tipo de datos así lo requiera, obligándose el encargado al que se le haga la entrega de los datos a garantizar igualmente los principios a los que se encuentra obligado el responsable.

Asimismo, el responsable debe garantizar el efectivo ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), a fin de que sean operantes.

Una cuestión que genera serias dudas para los responsables que recaban y tratan datos personales es la relativa a la "sensibilidad" de los datos biométricos. Debido a la trascendencia de la opinión expresada al respecto por el INAI, consideramos importante citar sus consideraciones al respecto:

"Si bien los datos biométricos no están mencionados de manera expresa en el listado de datos personales sensibles que se incluyen en ambas leyes14, ello no implica que no se puedan considerar como tales bajo ciertas circunstancias. Para determinar tal característica, se requiere atender las condiciones del caso concreto, a fin de analizar si los datos biométricos en cuestión actualizan alguno de los siguientes tres supuestos que prevén la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares para considerar un dato personal como sensible:

a) Que se refieran a la esfera más íntima de su titular;

b) Que su utilización indebida pueda dar origen a discriminación, o

c) Que su uso ilegítimo conlleve un grave riesgo para su titular."

Como ejemplo de este análisis, el INAI se refiere a los casos en que el dato biométrico del iris puede llegar a aportar información sobre el estado de salud de su titular, o el caso del tratamiento de una huella digital en aquellos casos en que su uso indebido puede permitir el acceso a información privilegiada que pudiera poner en riesgo la seguridad o el patrimonio de el titular de los datos.

Finalmente, al conservar los datos biométricos la autoridad mexicana recomienda que sean conservados hasta en tanto se cumpla con la finalidad para la cual fueron recabados, debiendo bloquearlos o eliminarlos al concluir el plazo. O en caso de requerir su transferencia, cifrarlos.

Con esta guía emitida por el INAI, se busca garantizar la seguridad de las personas y sus datos biométricos, evitar el robo de identidad y otros ilícitos con los datos, pero igualmente importante, se busca garantizar los derechos humanos inherentes a los datos personales consolidados en el derecho constitucional mexicano.

En BGBG contamos con profesionales cualificados para asesorarlo en el tratamiento de datos biométricos y ponemos a su disposición los servicios legales de nuestra área de Protección de Datos Personales y Privacidad.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.