La biometría de voz se está convirtiendo en una herramienta ampliamente usada por bancos einstituciones públicas con fines de identificación y autenticación. A estos efectos, resulta esencial debatir los riesgos que la biometría entraña para la privacidad, así como su cumplimiento con el RGPD.
Conforme la tecnología avanza y el mundo evoluciona hacia las plataformas online, nos encontramos también con que aparecen de forma constante nuevos medios digitales para identificar a las personas.
Una de estas herramientas de identificación que ha experimentado un mayor crecimiento en los últimos cinco años es la biometría de voz, que se trata de una tecnología empleada para autenticar a los sujetos mediante la voz únicamente.
Son muchas las compañías y organizaciones alrededor del mundo que están usándola, incluidos bancos, entidades de crédito y agencias públicas.
Por ejemplo, en 2016 el banco Citi fue demandado por haber lanzado un Proyecto que automáticamente verificaba la identidad de los clientes mediante la voz, mediante tan sólo los primeros segundos de conversación. Esta actividad fue presentada por Citi como una forma de reducir los tiempos de espera a través de la eliminación de los procesos de autenticación manuales, normalmente tomando un extracto de uno o dos minutos de las llamadas recibidas en el call center.
Si bien es cierto que la biometría de voz puede mejorar los servicios ofrecidos a los clientes y la gestión de los negocios, hay que tener en cuenta también que entraña altos riesgos para la privacidad de los usuarios.
Hace tan solo cuatro meses, la autoridad de control de Reino Unido, la ICO, emitió un aviso de ejecución a Hacienda para eliminar millones de registros de biometría recogidos de manera ilegítima, lo cual fue descubierto tras una investigación que reveló que el departamento de impuestos de Reino Unido había registrado datos biométricos sin ofrecer información suficiente sobre cómo iba a tratarse dicha información, y además no se proporcionó ninguna alternativa para retirar el consentimiento. En mayo de 2019 la orden de ejecución final dio 28 días al departamento para completar el borrado de todos los datos biométricos obtenidos sin consentimiento mediante el sistema de voz.
“Dado que la biometría de voz es usada normalmente para re–identificar a una persona, se debe tratar con una base legal adecuada, como cualquier otro dato personal. Esta base puede ser el consentimiento o el interés legítimo, éste último sujeto a la realización de una evaluación de interés legítimo previa, conforme al RGPD”, afirma DrBostjan Makarovic, Socio Gerente de Aphaia.