Todos los días, una cantidad asombrosa de datos biométricos es recolectado en todo el mundo por aeropuertos, bancos, telecomunicaciones, tiendas, hospitales, agencias gubernamentales y una veintena de otras entidades. A medida que la tecnología biométrica se va integrando cada vez más en el tejido de la vida cotidiana, las personas se sienten más cómodas con la idea de presentarse ante la captura biométrica. Tal vez sea un poco demasiado cómodo: ya casi nadie lo hace con solo pensarlo un momento.
La creciente adopción de la biometría debería hacer que las personas se preocupen más por la regulación. ¿Quién desempeña las funciones de supervisión en todas las actividades que emplean la biometría? ¿Quién rige los estándares en los que se basa la tecnología? ¿Qué se está haciendo para garantizar la precisión, la seguridad y la privacidad?
No se puede exagerar la necesidad de un marco regulatorio y estándares para las tecnologías biométricas. Los datos biométricos están repletos de información personal confidencial que se puede utilizar para identificar a las personas, determinar su ubicación e incluso ofrecer una idea de sus estados emocionales. Esto los convierte en un objetivo tentador para los ciberdelincuentes y los piratas informáticos patrocinados por el estado, quienes pueden utilizarlos para la vigilancia, la represión política, el chantaje, el robo de identidad y otros fines malintencionados.
Abogar por la protección del consumidor
Una agencia que está a la vanguardia de la regulación de la tecnología es la Comisión Federal de Comercio (FTC), la agencia estadounidense responsable de hacer cumplir las leyes de protección al consumidor, que ha estado tomando medidas decisivas para imponer el orden en el uso de la tecnología.
En 2020, la FTC llegó a un acuerdo con una empresa llamada que vendía candados inteligentes que podían desbloquearse con datos biométricos, como huellas dactilares. La agencia acusó a la empresa de hacer afirmaciones engañosas sobre la seguridad de sus productos, incluida la afirmación de que sus candados eran «irrompibles», lo que resultó ser falso.
El acuerdo prohibía a la empresa hacer afirmaciones falsas y le ordenaba llevar a cabo un programa de capacitación en seguridad integral. También exigía que la empresa se sometiera a evaluaciones periódicas por parte de terceros y a una certificación de cumplimiento anual.
Luego, en 2021, la agencia llegó a un acuerdo extrajudicial con el desarrollador de una aplicación de almacenamiento de fotos, al que demandó por presunto uso indebido del reconocimiento facial. La FTC acusó a la aplicación de recopilar imágenes faciales sin consentimiento, que luego supuestamente utilizó para entrenar sus algoritmos. Además, el desarrollador de la aplicación tampoco reveló el uso del reconocimiento facial en su política de privacidad, lo que constituye una violación de la Ley de la FTC.
Redoblando sus esfuerzos, la FTC amplió aún más su alcance el 18 de mayo de 2023, con una decisión unánime dirigida a las aplicaciones de atención médica que violaban las prácticas de privacidad. Y lo que es más importante, la agencia emitió un informe exhaustivo declaración de política sobre el uso indebido de los datos biométricos en iniciativas de marketing y publicidad.
Esta política histórica apunta a que las entidades comerciales aprovechen los datos biométricos de los clientes para vender tecnologías, lo que entra en conflicto directo con la misión de la FTC de mantener la privacidad, mejorar la seguridad de los datos y minimizar los posibles sesgos.
Elaborada en virtud de la sección 5 de la Ley de la FTC, la declaración de política proporciona un marco legal claro para la aplicación de la tecnología biométrica con fines de identificación. Va un paso más allá al especificar los casos en los que el uso indebido de esta tecnología, en particular las prácticas que pueden conducir a una «vigilancia» injustificada, exigirá la adopción de medidas reglamentarias. Esta reciente medida de la FTC subraya su compromiso de frenar el uso indebido de las tecnologías biométricas y defender la protección del consumidor en la cambiante era digital.
Establecimiento de los estándares biométricos
Si bien no es reglamentario, el Instituto Nacional de Estándares y Tecnología (NIST), desempeña un papel importante en el desarrollo de normas de interoperabilidad y precisión. Ya ha creado varios informes técnicos y directrices en los que se describen las mejores prácticas y recomendaciones para los sistemas de identificación digital basados en la biometría.
El NIST ha creado el Publicación especial (SP) serie 800-76, que detalla las especificaciones técnicas de las tarjetas de verificación de identidad personal (PIV) que utilizan los empleados y contratistas federales. Dichas tarjetas emplean datos biométricos, como huellas dactilares, para verificar la identidad del titular de la tarjeta. La publicación especifica el formato y el contenido de los datos biométricos, así como los protocolos de seguridad para proteger esos datos.
Además de estos informes técnicos, el NIST también lleva a cabo programas de investigación y desarrollo destinados a impulsar las mejoras y estimular la innovación en la biometría. Recientemente lanzó el programa «Face Recognition Vendor Test» (FRVT), que evalúa los algoritmos de reconocimiento facial presentados por los proveedores. Este programa está demostrando ser muy valioso para identificar áreas de mejora y proporcionar puntos de referencia para medir la precisión de los diferentes sistemas.
Promover el uso ético y el intercambio de conocimientos
El Instituto de Biometría, una organización sin fines de lucro, promueve activamente el uso responsable y ético de la tecnología biométrica. Como parte de esta misión, sirve como una plataforma neutral donde los miembros, desde usuarios y proveedores de sistemas biométricos hasta académicos y defensores de la privacidad, pueden intercambiar conocimientos e información. El Instituto organiza eventos, seminarios y sesiones de capacitación que se centran en los diversos aspectos de la biometría, como los avances tecnológicos, las consideraciones éticas, los impactos en la privacidad y las tendencias regulatorias.
Para ayudar a sus miembros a abordar los posibles problemas que pueden surgir de la implementación de sistemas biométricos, el Instituto de Biometría ha desarrollado una guía de privacidad. Esta guía integral ayuda a las organizaciones a considerar factores clave como el cumplimiento de las leyes de privacidad, los derechos de las personas, la seguridad de los datos y los principios de transparencia y responsabilidad.
Al establecer dichos estándares, el Instituto desempeña un papel crucial en la promoción del uso responsable de la tecnología biométrica a nivel mundial, ayudando a dar forma a un futuro en el que la biometría respalde los beneficios sociales sin comprometer la privacidad individual.
Armonización de la protección de datos
El EDPB proporciona directrices, recomendaciones y documentos de mejores prácticas para promover la aplicación uniforme del Reglamento General de Protección de Datos (GDPR) en toda la UE, incluidos los relacionados con el procesamiento de datos biométricos. Dada la naturaleza sensible de los datos biométricos, estas directrices son cruciales para garantizar que las empresas, las autoridades públicas y las personas entiendan sus derechos y obligaciones al utilizar tecnologías biométricas. El papel del EDPB a la hora de proporcionar estos conocimientos cruciales ayuda a fomentar la confianza en el uso de las tecnologías biométricas, al tiempo que garantiza que los derechos fundamentales de privacidad permanezcan protegidos.
El 17 de mayo de 2023, la EDPB adoptó la versión definitiva de sus Directrices sobre la aplicación de tecnologías de reconocimiento facial en el ámbito de la aplicación de la ley. Diseñadas específicamente para guiar a los legisladores tanto a nivel de la UE como de los Estados miembros, estas directrices también proporcionan una valiosa orientación para las autoridades policiales y los funcionarios que participan directamente en el despliegue y el uso de la tecnología de reconocimiento facial.
Este notable avance subraya el papel proactivo del EDPB en la configuración de las políticas, proporcionando una orientación vital sobre el uso de tecnologías biométricas en la aplicación de la ley y garantizando la protección de los derechos de privacidad individuales en una sociedad cada vez más digital.
Abogando por el uso adecuado y la privacidad
La Asociación Internacional de Biometría e Identidad (IBIA) es una organización sin fines de lucro que defiende el uso adecuado de la tecnología biométrica para mejorar la seguridad, la privacidad y la comodidad. Trabaja con los responsables políticos, las agencias gubernamentales y las partes interesadas del sector privado para establecer estándares para la tecnología biométrica.
La IBIA ha desarrollado varias especificaciones técnicas para los sistemas biométricos, como estándares para el intercambio de datos y el cifrado. Como firme defensora del uso de tecnologías que mejoren la privacidad en los sistemas biométricos, la IBIA ha desarrollado directrices para el uso de sistemas biométricos en los aeropuertos, en las que se pide a las autoridades que minimicen la recopilación y el almacenamiento de datos biométricos y garanticen que los datos estén cifrados y protegidos contra el acceso no autorizado.
Además de desarrollar estándares y directrices, la IBIA también trabaja con los legisladores y otras partes interesadas para presionar para legislar el uso responsable de la tecnología biométrica y la protección de la privacidad individual y las libertades civiles. La IBIA está abogando decididamente por la adopción de salvaguardias en el uso de la tecnología biométrica en la aplicación de la ley, la seguridad fronteriza y el control de la inmigración.
La biometría es una de las tecnologías más beneficiosas conocidas por el hombre y se está generalizando cada día más. El notable crecimiento de la tecnología debe ir acompañado de una seria preocupación por la supervisión y la estandarización adecuadas para garantizar la protección de la privacidad y las libertades civiles, garantizar la precisión y la equidad, garantizar la interoperabilidad y fomentar la confianza y la transparencia.
Las medidas proactivas de estas organizaciones proporcionan una base sólida para el despliegue seguro, beneficioso y respetuoso de la privacidad de las tecnologías biométricas, configurando un futuro en el que podamos adoptar con confianza estos avances sin comprometer nuestros derechos fundamentales a la seguridad y la privacidad.