El uso intensivo de aplicaciones basadas en datos ha abierto la puerta a una mayor personalización de servicios, ha potenciado la efectividad en la toma de decisiones, y es además un elemento básico para la transformación digital en el gobierno y el sector privado. La tecnología ha permitido el uso de la biometría facial para el reconocimiento de clientes, y esto gracias a que los usuarios provean su información biométrica a las compañías. Sin embargo, para poder conseguir el impacto esperado con este tipo de aplicaciones, es necesario que las empresas protejan adecuadamente los datos biométricos. ¿Son los datos biométricos información sensible? ¿de qué manera se debe proteger la información sensible? Las empresas que trabajan con datos sensibles en Latinoamérica deben conocer cómo están definidos en la ley de cada país.
Definición de datos sensibles en América Latina
Los datos sensibles son datos considerados de tal forma por las leyes nacionales e internacionales orientadas a crear un marco normativo para los datos personales. En particular, las leyes se denominan leyes de protección de datos personales, pues su finalidad es proveer una defensa para que no se vulneren estos datos. ¿Qué son los datos personales? Los datos personales son todos aquellos datos que permiten identificar a una persona. Entre ellos existen datos biográficos, como el nombre, la edad, el lugar de nacimiento, etc. Pero también hay una clasificación especial para un tipo determinado de datos que identifican a una persona de una manera muy personal: los datos sensibles. Lo característico de estos datos es que pueden llevar a una discriminación de la persona a quien hacen referencia. Ahora bien, dependiendo de cada país en Latinoamérica, existe una definición específica de datos sensibles.
En Argentina la ley N° 25326 [OEA2000], del año 2000, define datos sensibles de la siguiente manera: “Artículo 2°. Definiciones. Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.”
En Brasil, la Lei Geral de Proteção de Dados Pessoais [PDR2018], más reciente – del 2018 – establece que los datos sensibles son los siguientes: “Artículo 5°. Datos sensibles: datos personales que revelan el origen racial o étnico, creencia religiosa, opinión política, sindical o religiosa, filosófica o afiliación a una organización política, datos sobre salud o vida sexual, datos genéticos o biométricos, cuando estén relacionados con una persona física.”
En Chile, la Ley N° 19628 de Protección de Datos de Carácter Personal [BCNC2012], la más antigua de los países estudiados – 1999 – define datos sensibles de esta forma: “Artículo 2°. Para los efectos de esta ley se entenderá por: Datos sensibles, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.”
En México rige la Ley Federal de Protección de Datos en Posesión de los Particulares, [CD2010] del año 2010. En esta ley se establece en el artículo 3° que se entenderá por datos personales sensibles: “Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.”
En Perú, la Ley de Protección de Datos Personales [PCM2011], de 2010 define datos sensibles de la siguiente manera: “Artículo 2°. Definiciones. Para todos los efectos de la presente Ley, se entiende por: Datos sensibles. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.”
Datos biométricos
Si se lee detalladamente, en el caso de Brasil y Perú la definición de datos sensibles incluye explícitamente a los datos biométricos, en el caso de Chile se considera que los rasgos físicos son datos sensibles, y en el caso de México se considera que la información genética es un dato sensible.
¿Qué son exactamente los datos biométricos? Una buena definición la ofrece el INAI [INAI2018] – Instituto Nacional de Transparencia, Acceso a la Información, y Protección de Datos Personales – de México. Según esta institución, los datos biométricos están clasificados en dos categorías:
1. Rasgos físicos: características físicas o fisiológicas como la huella dactilar, el rostro, el iris o la geometría de la mano.
2. Características de comportamiento: características del comportamiento y de la personalidad como la firma, la escritura, la voz, la escritura en el teclado o la forma de caminar.
Asumiendo que los datos biométricos se consideren como datos sensibles, su mal uso se puede convertir en un elemento de discriminación, aunque más importante aún, puede afectar a la esfera más íntima de su titular, o como lo afirma la definición de datos sensibles de México: “puede conllevar un riesgo grave para su titular” [CD2010]. En el sentido de un riesgo grave, una fuga de datos biométricos de grandes bases de datos representa un gran problema para el titular y para la compañía que lo guarda. En agosto de 2019 se descubrió que una plataforma de seguridad, BioStar 2, fue infiltrada y se fugaron 28 millones de registros biométricos. ¿Por qué es grave para el titular una fuga de datos biométricos? Al obtener estos datos, los hackers pueden suplantar su identidad, y obtener acceso a los servicios que son autenticados por medio de información sensible. Uno de los puntos más comprometedores de la fuga de datos biométricos es que el suplantador puede, a diferencia de las contraseñas que se recomienda cambiar periódicamente, acceder indefinidamente a su información biométrica, pues es un rasgo que nunca cambia [NORTON2020].
Es importante mencionar que de los países citados en la sección anterior, solo Brasil y Perú incluyen los datos biométricos explícitamente en su ley de protección de datos personales. Sin embargo, todos los países (menos Argentina) establecen que debe existir un consentimiento por parte del titular para el tratamiento de los datos sensibles [PDR2018], [BCNC2012], [CD2010], [PCM2011]. Por este motivo, la protección de los datos personales sensibles por parte de la ley latinoamericana es efectiva, pues por medio de un consentimiento informado se establece una protección legal a los titulares de los datos sensibles.
En el caso particular de Colombia, la legislación establece que los datos biométricos son datos sensibles, razón por lo cual se puede considerar que es una legislación avanzada en términos comparativos con las legislaciones latinoamericanas – si bien no en su totalidad – si en la gran mayoría de casos.
Teniendo en cuenta estas características, ReconoSER ID asume con responsabilidad la protección de datos personales de sus usuarios, usando las precauciones necesarias para el uso de datos biométricos, y garantizando las condiciones establecidas en el consentimiento informado que cada usuario aprueba.
Conclusiones
El uso de datos biométricos ha cobrado cada vez más relevancia en el mundo, especialmente por el uso del reconocimiento facial. Si bien son muchas las ventajas derivadas del uso de estos datos para todo tipo de aplicaciones, no se debe olvidar que ellos requieren una protección especial y que esta no es homogénea en América Latina. Es de esperar que los proveedores de servicios basados en datos consideren dentro de sus estrategias de despliegue las medidas necesarias para proteger estos datos, y dar a conocer a los usuarios sus opciones.
Nicolás Spijkers
Bibliografía
[OEA2000] Organización de Estados Americanos. Protección de los Datos Personales. Ley 25326 de Argentina. Año 2000.
[PDR2018] Presidencia da Republica do Brasil. Lei n° 13709 de 14 de agosto de 2018
[BCNC2012] Biblioteca del Congreso Nacional de Chile. Sobre Protección de la Vida Privada. Última modificación: 2012. Ley 19628 de Protección de Datos de Carácter Personal.
[CD2010] Cámara de Diputados de México. Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Año 2010.
[PCM2011] Presidencia del Consejo de Ministros de Perú. Ley N° 29733 de protección de datos personales. Publicada el 3 de julio de 2011.
[INAI2018] Instituto Nacional de Transparencia, Acceso a la Información, y Protección de Datos Personales. Guía para el Tratamiento de Datos Biométricos. 2018
[NORTON2020] Norton. Biometric data breach: Database exposes fingerprints, facial recognition data of 1 million people. 2020