anulación del EU-US Privacy Shield

Actualización sobre las implicaciones prácticas de la anulación del EU-US Privacy Shield

Desde que el Tribunal de Justicia de la Unión Europea (TJUE) invalidara el EU-US Privacy Shield en su sentencia sobre el caso Schrems II hace dos semanas, son muchas las cuestiones que han surgido en torno la transferencia de datos a Estados Unidos.

Tras la anulación del EU-US Privacy Shield por parte del TJUE el pasado 16 de julio tal y como recogimos en el blog de Aphaia, las transferencias de datos a Estados Unidos requieren ahora de la aplicación de otro mecanismo válido que ofrezca un nivel similar de protección de datos personales a aquel garantizado por el RGPD. 

Las directrices del Comité Europeo de Protección de Datos

A fin de clarificar algunas de las cuestiones principales derivadas de la anulación del EU-US Privacy Shield, el Comité Europeo de Protección de Datos (CEPD) ha publicado un documento donde ofrece respuestas a las preguntas más comunes en torno al caso Schrems II. Se espera que este contenido se desarrolle más en detalle conforme se vaya contando con un análisis más específico sobre la decisión del TJUE. 

El CEPD recuerda que la anulación del EU-US Privacy Shield es inmediata sin período de gracia, de tal manera que ha dejado de ser un mecanismo válido para la transferencia de datos personales a los Estados Unidos, lo que implica que las empresas que lo estuviesen usando deberán implementar otra salvaguarda a este fin que les permita asegurar un nivel de protección de los datos personales equivalente a aquel garantizado por el RGPD.  

¿Qué ocurre con las Cláusulas Contractuales Tipo (SCCs)?

El TJUE ha considerado que la validez de las SCCs depende de la habilidad del exportador y del importador de los datos de verificar, antes de transferirlos, y teniendo en cuenta las circunstancias específicas de cada caso, si el nivel de protección de los mismos requerido por el RGPD puede respetarse en Estados Unidos. Si bien esto resulta en principio difícil, pues el TJUE afirmó que la ley estadounidense (Section 702 FISA and EO 12333) no proporciona un nivel equivalente de protección. 

El importador de los datos debería informar al exportador sobre cualquier incapacidad para cumplir con las SCCs y, cuando sea necesario, sobre la aplicación de medidas suplementarias. El exportador, por su parte, debería llevar a cabo una evaluación para asegurar que la ley de Estados Unidos no vulnera el nivel de protección adecuado requerido por la ley europea, tomando en consideración las circunstancias concretas de la transferencia y las medidas adicionales. El exportador puede contactar con el importador para verificar la legislación del país de destino y pedirle colaboración en la evaluación. Si el resultado no es favorable, la transferencia debería suspenderse. En caso contrario el exportador debería notificar la misma a la respectiva autoridad de control. 

¿Qué ocurre con las normas corporativas vinculantes (BCRs)?

Dado que el motivo de la anulación del EU-US Privacy Shield por parte del TJUE fue el grado de interferencia generado por la ley estadounidense respecto de las garantías de protección de los datos, la decisión del TJUE se aplica del mismo modo a las BCRs, pues la ley estadounidense también primaría sobre esta herramienta al igual que lo hace sobre las SCCs. De igual manera que antes de emplear SCCs, previamente a utilizar BCRs como mecanismo de transferencia se habría de desarrollar una evaluación por parte del exportador y, y se tendría que notificar a la autoridad de control competente si el resultado de la evaluación es negativo y aun así se pretende continuar con la transferencia. 

¿Qué ocurre con las excepciones del artículo 49 RGPD?

El artículo 49 del RGPD recoge una serie de condiciones bajo las cuales los datos personales pueden transferirse a un tercer país en ausencia de una decisión de adecuación o de mecanismos como las SCCs y las BCRs, entre ellas:

  • Consentimiento. El TJUE señala que el consentimiento debería ser explícito, específico y concreto para la transferencia o conjunto de transferencias sobre las que se informa al interesado. Este element implica dificultades prácticas de cumplimiento por parte de empresas que tratan datos de sus clientes, pues significaría, por ejemplo, pedir consentimiento a todos sus clientes antes de utilizar herramientas como Sales Force. 
  • Contrato entre el interesado y el responsable de los datos. Es importante apuntar que esto sólo se aplica cuando la transferencia es ocasional y únicamente para aquellas que son objetivamente necesarias para el cumplimiento del contrato.  

¿Qué ocurre con terceros países diferentes a EEUU?

El TJUE ha explicado que, como norma general, se puede continuar usando las SCCs para transferir datos a un tercer país, pero los umbrales exigidos para transferencias a Estados Unidos se aplicarán también a cualquier otro tercer país, y lo mismo ocurre con las BCRs. 

¿Qué debería hacer si uso encargados del tratamiento que transfieren datos a EEUU?

Conforme al documento publicado por el CEPD, si no se aportan medidas adicionales que puedan asegurar que Estados Unidos no vulnera la aplicación de un nivel de protección similar al exigido por el RGPD y si las excepciones del artículo 49 RGPD no se aplican “la única solución es negociar cambios o una cláusula suplementaria al contrato para prohibir las transferencias a Estados Unidos. Los datos no sólo deberían ser almacenados, sino también administrados en otro lugar que no sea Estados Unidos”. 

¿Qué es lo próximo que podemos esperar del TJUE?

El CEPD está analizando la sentencia del TJUE para determinar el tipo de medidas adicionales que podrían ofrecerse cuando se utilicen SCCs o BCRs, ya sean medidas legales, técnicas u organizativas. 

El pronunciamiento de la ICO

La ICO está continuamente actualizando su declaración sobre la sentencia del TJUE en el caso Schrems II. La última version disponible hasta ahora es del 27 de julio y en ella la ICO confirma que las orientaciones ofrecidas por el CEPD se aplican a responsables y encargados de tratamiento de Reino Unido. Hasta que se ofrezcan directrices más detalladas por parte de las instituciones europeas, la ICO recomienda  a las empresas realizar un balance de las transferencias internacionales que hacen por el momento y estar preparados para poder reaccionar con flexibilidad a cualquier cambio. Asimismo, afirman que continuarán aplicando su enfoque basado en el riesgo y en la proporcionalidad de acuerdo a su Política de Acción Regulatoria.  

Los pronunciamientos de otras autoridades de control europeas.

Algunas autoridades de control europea han hecho ya pública su respuesta a la sentencia del Caso Schrems II. Mientras que la mayoría de países están aún sopesando las implicaciones de la misma, otros avisan del riesgo de no cumplimiento y unos poco, como Alemania (en concreto Berlín y Hamburgo) y los Países Bajos han dicho abiertamente que las transferencias a Estados Unidos son ilegales.

En términos generales, aquellos que están intentando concienciar sobre los riesgos establecen que:

  • Las transferencias de datos a Estados Unidos son posibles, pero requieren de la implementación de medidas adicionales.
  • La obligación de implementar los requisitos recogidos en la sentencia del TJUE conciernen tanto a las empresas como a las autoridades de control. 
  • Se requiere a las empresas controlar de manera continua el nivel de protección del país receptor de los datos. 
  • Las empresas deberían llevar a cabo una evaluación previa a la transferencia de datos personales a Estados Unidos.

La autoridad de control de Alemania (Rhineland-Palatinate) ha propuesto una evaluación de cinco pasos:

¿Puede EEUU garantizar el nivel de protección de datos requerido por el RGPD?

El TJUE ha considerado que los requisitos de la ley de Estados Unidos y, en particular, algunos programas que permiten a las autoridades públicas de Estados Unidos el acceso a datos personales transferidos desde Europa, resultan en limitaciones a la protección de datos personales que no satisfacen los requisitos del RGPD. Además, el TJUE ha establecido que la legislación estadounidense no garantiza a los interesados derechos ejecutables ante las autoridades estadounidenses. 

En este contexto parece difícil que una compañía pudiese demostrar que puede ofrecer un nivel adecuado de protección de datos personales para los datos transferidos desde Europa, porque básicamente tendría que estar por encima de la legislación nacional estadounidense para ello. 

Los últimos movimientos en el Senado de Estados Unidos tampoco arrojan mucha luz a este problema, porque la «Lawful Access to Encrypted Data Act» fue introducida el mes pasado, la cual ordena a los proveedores de servicios y a los fabricantes de dispositivos ayudar a las autoridades a acceder a los datos encriptados si esto ayudase a ejecutar una orden legalmente obtenida. 

¿Realizas transferencias internacionales de datos a terceros países? ¿Te afecta la Sentencia del caso “Schrems II”? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Comisión Europea sobre la transición:

La Comisión Europea lanza un comunicado sobre la transición entre Reino Unido y la Unión Europea

La Comisión Europea ha lanzado un comunicado donde detalla las implicaciones de la transición entre Reino Unido y la Unión Europea.  

Con motivo del final del período de transición entre Reino Unido y la Unión Europea en la salida del primero, prevista para finales de este año, la Comisión Europea ha lanzado un comunicado donde evalúa la situación actual de Reino Unido para su separación. El acuerdo de salida se firmó el 1 de febrero de 2020 y en él se estableció que las leyes de la UE se continuarían aplicando a Reino Unido hasta el 31 de diciembre de 2020. De esta forma, por ahora Reino Unido sigue siendo parte de los programas de la UE y el Mercado Único Europeo y continúa respetando las políticas de la UE y cualquier acuerdo internacional que incluya a la misma.  Esta situación tomará un giro a partir del 1 de enero de 2021, cuando el período de transición llegue a su fin y el acuerdo de salida se haga efectivo. Así por tanto, el período de transición funciona como un período de continuidad para asegurar que Reino Unido está preparada para implementar todas las medidas y acuerdos que sean necesarios a fin de facilitar la negociación de la nueva relación entre Reino Unido y la UE a partir del 1 de enero de 2021. 

Las negociaciones cobran impulso este verano porque la UE y Reino Unido pretenden alcanzar un acuerdo sobre la futura relación entre ambos antes de que llegue la fecha de implementación, prevista para el 1 de enero de 2021. 

Mientras que las negociaciones han evolucionado lento durante la primera parte de este año, desde junio han tomado impulso, pues el Gobierno de Reino Unido ha tomado la decisión de no alargar el período de transición. El objetivo es alcanzar un ambicioso acuerdo en la relación entre ambas partes que cubra todas las áreas acordadas por Reino Unido en la Declaración Política para finales de 2020. El acuerdo resultante daría lugar a una situación muy diferente a la actual participación de Reino Unido en el Mercado Único Europeo y en el área de IVA e impuestos especiales.  Se espera también que se pongan barreras al comercio de bienes y servicios y a la movilidad e intercambios transfronterizos. Todo esto, en el contexto de presión bajo el que se encuentran todos los negocios debido a la pandemia del COVID-19, probablemente causará algunas disrupciones en enero de 2021.   

Se aconseja a los negocios que revisen sus planes de reacción previstos para el escenario de Brexit sin acuerdo. Mientras que las negociaciones todavía están en curso, dichos planes podrían ser todavía muy importantes para los cambios al final del período de transición. 

La Comisión Europea ha publicado información sobre los efectos que dichos cambios podrían tener en varias industrias, e implora a las empresas la implementación de las acciones que aseguren su preparación para el nuevo escenario. 

La Comisión Europea ha comunicado un resumen de los cambios que se esperan  tanto si hay como si no hay un acuerdo de colaboración futura entre Reino Unido y la UE. El 1 de enero de 2021 finalizará el período de transición que actualmente permite la participación de Reino Unido en el Mercado Único Europeo y la Unión Aduanera, lo que implicará el fin del libre movimiento de personas, bienes y servicios entre ambos territorios. Como resultado habrá muchos cambios automáticos. 

Desde marzo de 2020 la Unión Europea ha estado publicando artículos sobre la preparación específica para varias industrias. Hasta la fecha hay 59 artículos que cubren un amplio rango de industrias, y esta lista será actualizada de manera regular conforme otros nuevos se vayan lanzando. La Comisión Europea hace un llamamiento a todos los consumidores nacional y europeos, empresas y asociaciones para asegurar que todos los miembros son plenamente conscientes de los cambios que se esperan. Los cambios que tendrán lugar a partir del 1 de enero de 2021 serán automáticos, de gran alcance e inevitables, de carácter tanto logístico como legal, con lo que los efectos no deberían infravalorarse. En última instancia, las empresas necesitan realizar su propia evaluación de riesgos e implementar las acciones necesarias para confirmar su propia preparación.  

¿Cuáles son las implicaciones para la protección de datos?

Como informamos en nuestro blog en enero, la ICO lanzó un comunicado sobre las implicaciones del Brexit en protección de datos, donde se ofrecía una serie de orientaciones en la materia, a saber: 

Durante el período de transición:

  • El RGPD se continúa aplicando en Reino Unido.
  • No se necesita un representante europeo.
  • Las orientaciones sobre el RGPD de la ICO siguen siendo válidas.
  • Las transferencias de datos entre Reino Unido y Europa no están restringidas. 

Después del período de transición: 

  • El RGPD será llevado a la legislación nacional británica como el ‘RGPD de Reino Unido’ y Reino Unido tendrá independencia para mantener el marco bajo revisión.
  • Podría ser necesario nombrar un representante europeo.
  • La ICO no será institución reguladora ni autoridad de protección de datos para ninguna actividad específicamente europea que recaiga bajo la versión comunitaria del RGPD.
  • La DPA 2018 continuará siendo de aplicación.
  • La ICO seguirá siendo el cuerpo independiente de supervisión de la normativa de protección de datos británica.
  • Las transferencias de datos entre Reino Unido y Europa podrían estar limitadas y se podría precisar de la implementación de medidas y salvaguardas adecuadas.

¿Tratas datos personales en Reino Unido o transfieres datos personales entre Reino Unido y Europa? Si es así, el Brexit podría afectarte. Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos y de adaptación al RGPD y a la Data Protection Act 2018 pueden ayudarte. Infórmate aquí.

IA en el sector inmobiliario

La ética de la IA en el sector inmobiliario: consejos adicionales para lograr las mejores prácticas.

Incorporar la ética de la IA en el sector inmobiliario es esencial para mantener la integridad en la industria, pues los sistemas de IA ya forman parte de sus procesos. 

 

A principio de este mes ya exploramos la importancia de la ética de la IA en el sector inmobiliario a fin de que la industria avanzase junto a la regulación, a la par que se consolidaría en beneficio de los compradores, vendedores y la industria y la sociedad en general. La Inteligencia Artificial tiene la habilidad de revolucionar el sector inmobiliario, pero se deben aplicar las medidas necesarias para asegurar que funciona de manera ética, a fin de que el beneficio que aporta sea real. En este artículo exploramos los principios éticos que deberían regir la IA en el sector inmobiliario con el propósito de que su uso revierta efectos positivos sobre toda la sociedad en general y no sobre un número pequeño de individuos únicamente.  

 

Las dificultades para alcanzar este objetivo son más evidentes si se toma en consideración que el sector inmobiliario es la segunda industria menos digitalizada del mundo. Son muchos los factores que deben tenerse en cuenta al acercar el uso de la IA al sector inmobiliario y de la construcción. Dado que son muchas las categorías de datos que forman parte de una propiedad y su entorno, resulta necesario que el código de cualquier sistema de IA que opere con tal información haya sido creado con las máximas garantías. También se precisa transparencia extrema durante todo el proceso para así asegurar que estos sistemas de IA van a ser acordes a la regulación, y evitar la discriminación en tanto sea posible.  

 

La solidez técnica y la seguridad en el desarrollo de la IA.

 

Actualmente el machine learning es la variedad de IA más empleada en este contexto. Mientras que este enfoque ha demostrado ser apropiado en determinadas ocasiones, otras veces también puede presentar fallos.  in embargo, si se va a emplear el machine learning de forma efectiva y ética, es importante estar concienciados de las probabilidades de un tratamiento erróneo, y ser capaces de mitigar su impacto.  Debemos comprender las fortalezas y limitaciones de esta tecnología para asegurar que se utiliza de la mejor forma posible.

 

El desarrollo de los sistemas de IA debería considerar el impacto social y medioambiental. 

 

Cuando se trata de elegir una vivienda son muchos los factores que entran en juego. Las especificaciones de la casa, la demografía del vecindario y otros tantos elementos son esenciales a la hora de tomar una decisión. Y es aquí también donde surgen las oportunidades, para crear IA que puede diferenciar entre todos ellos y encontrar las propiedades que se ajusten mejor a los compradores, no sólo según el precio o la localización, sino también por ejemplo conforme a los materiales de construcción o incluso la proximidad a determinados servicios.  

 

Es importante asegurar que los sistemas de IA no van a incurrir en discriminación.

 

Cuando se utilizan sistemas de IA en el sector inmobiliario, es crucial asegurar que los compradores no van a ser automáticamente colocados en una lista negra conforme a factores como la nacionalidad, origen o simplemente por razones de no encajar con la demografía actual de un determinado vecindario. Es posible que se incluyan sin querer sesgos históricos cuando se crea el algoritmo, de modo que éste reflejará los prejuicios del ser humano.  Mientras que es poco probable que un software de IA discrimine intencionalmente contra un determinado grupo demográfico, sí puede ocurrir que este resultado se de a raíz del conjunto de datos de entrenamiento, que puede incorporar sesgos.  Las empresas del sector inmobiliario deberían establecer una fase de prueba de la IA para asegurar que se abordan y eliminan dichos sesgos. 

 

Los sistemas de IA empleados en el sector inmobiliario deberían desarrollarse y funcionar dentro de la regulación. 

 

Los datos tanto de los compradores como de los vendedores y cualquier parte implicada en el proceso deberán protegerse durante toda la duración del mismo. Todos los procesos de los sistemas de IA debería regirse por el RGPD para asegurar que se respetan los principios y requisitos. Podría plantearse el argumento de que el RGPD limita el desarrollo de la IA porque las startups que se basan en dicha tecnología necesitan utilizar datos para entrenar los algoritmos de machine learning. Sin embargo, los sistemas de IA tendrán que funcionar de manera ética y conforme a la regulación, incluso durante las fases de desarrollo. Probablemente será necesario elaborar una Evaluación de Impacto y una Evaluación de Interés Legítimo.  

 

Uno de los objetivos del RGPD es asegurar que los interesados tienen el derecho de decidir qué terceras partes usan su información. Esto comienza con el derecho de conocer. En este sentido, la transparencia es clave porque los sujetos tienen derecho a recibir información sobre cuántos de sus datos se están empleado y cómo. Mientras que puede ser difícil ofrecer una transparencia absoluta, los responsables de los datos deben asegurar que cumplen con el RGPD. Hallar métodos de desarrollo de IA que sean acordes al RGPD no beneficiará sólo a los proveedores de servicios, sino también a los sujetos, si se hace de manera adecuada. 

Recientemente lanzamos un vlog donde analizamos el uso de la IA en el sector inmobilario como parte de nuestra serie de vídeos sobre IA en varias industrias. 

Suscríbete a nuestro canal de YouTube para no perderte la Parte II. 

¿Tienes dudas sobre cómo la IA está transformando el mercado inmobiliario y cuáles son los riesgos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.

identificación y autenticación biométricas.

Las claves de los 14 equívocos más comunes sobre identificación y autenticación biométricas.

La identificación y autenticación biométricas son dos conceptos que normalmente se malinterpretan o se usan indistintamente, de manera equívoca. Una reciente publicación conjunta del EDPS y la AEPD aclara los 14 equívocos más comunes al respecto. 

 

La identificación y la autenticación biométricas están a veces relacionadas, pero en realidad se refieren a dos conceptos distintos. La identificación biométrica es el proceso de identificar a un individuo de entre otros de un grupo a  través del uso de datos biométricos como huellas digitales o reconocimiento facial, y comparando sus datos con los de los demás.  Por otro lado, la autenticación, es el proceso de comparar los datos del sujeto con los datos de una determinada y probada identidad a fin de comprobar su coinciden y si por tanto dicha identidad es la del individuo. El aumento de la popularidad del uso de datos biométricos ha conducido a varios equívocos en torno a esta tecnología. El EDPS y la AEPD han decidido aclarar los catorce más comunes. Os dejamos un resumen a continuación; 

Equívoco

 “La información biométrica se almacena en un algoritmo”.

 

Aclaración

El algoritmo no es un medio para almacenar información, sino un conjunto de procesos e instrucciones. La información se almacena en registros denominado platillas, patrones o firmas, que diferencian a unas personas de otras registrando características físicas de manera numérica. Sin embargo, algunos conocimientos relativos al procedimiento se pueden transmitir a algunas máquinas.

Equívoco

“El uso de datos biométricos es tan intrusivo como cualquier otro sistema de identificación o autenticación”. 

Aclaración

Los datos biométricos son de hecho más intrusivos, pues se puede extraer mucha más información de forma involuntaria de una simple muestra de datos, incluyendo información personal que puede fácilmente singularizar a una persona y recoger información que puede resultar irrelevante para la finalidad perseguida. La raza, el género, el consume de sistancias, las enfermedades e incluso el estado emocional de la persona pueden deducirse de datos biométricos.  

Equívoco

“La identificación y autenticación biométricas son precisas”.

Aclaración

Se dan muchas más probabilidades de error que en los sistemas que funcionan mediante contraseña o código, por el simple hecho de que hay más variables involucradas. La identificación biométrica se basa en probabilidad, en oposición a los sistemas basados en contraseña o código, que son o bien 100% correctos o bien tratados como incorrectos. Debido a la naturaleza de la materia biológica, se ven afectados por circunstancias como la humedad, regracción, dificultades técnicas, edad y otros, pues cualquier podría sesgar la precisión de los resultados y dar lugar a falsos positivos o falsos negativos.  

Equívoco

“La identificación y autenticación biométricas son lo suficientemente precisas como para diferenciar siempre entre dos personas”.  

Aclaración

Esto no siempre es así, y resulta especialmente difícil en el caso de hermanos gemelos y en espacios abiertos en los que el reconocimiento facial es menos preciso. Asimismo, obstrucciones en la cara, como las ocasionadas por el uso de mascarillas en las circunstancias actuales, pueden también reducir ampliamente la precisión. Ésta está sin embargo mejorando poco a poco, pues la tecnología continúa evolucionando. 

 

Equívoco

 “La identificación y autenticación biométricas son apropiadas para todos”.

Aclaración

Algunas discapacidades físicas impiden que se pueda utilizar cualquier tipo de biometría todo el tiempo. Ya sea un estado temporal o una condición permanente, a veces es más difícil recoger y tratar datos biométricos con algunas personas.  

Equívoco

 “Los procesos de identificación y autenticación biométricas no se pueden evadir”. 

Aclaración

Esto no es cierto. Algunos tipos de identificación y autenticación biométricas son difíciles de evadir. Sin embargo, con el paso del tiempo han surgido muchos medios asequibles económicamente que permiten sortear estas medidas de seguridad. Hay sistemas cuyo total propósito es engañar al software de reconocimiento facial, mientras que los escáneres de retina y huella digital pueden también ser engañados con el equipamiento y preparación adecuadas. 

Equívoco

 “La información biométrica no está expuesta”.

Aclaración

La información proporcionada a los escáneres biométricos y las bases de datos son simplemente características que son reconocibles y fácilmente identificables. Y este es el motive por el que está expuesta. La radiación infrarroja, las imágenes de alta calidad y otro equipamiento pueden fácilmente obtener información biométrica de otros sin su consentimiento e incluso sin su conocimiento. Sí es cierto que evitar la lectura o exposición de información biométrica es mucho más difícil para el ciudadano medio. 

Equívoco

 “Cualquier proceso biométrico implica identificación o autenticación”.

 

Aclaración

Este no es el caso. La autenticación simplemente pretende diferenciar entre usuarios elegibles y no elegibles. Sin embargo, no es un sistema infalible y así por y tanto no puede evitarse con una precisión del 100%. Los falsos positivos o negativos existen, con lo que las autenticaciones no son protocolos de seguridad muy rigurosos en los que uno pueda depender a prueba de fuego como principal fuente de seguridad. 

Equívoco

“Los sistemas de identificación y autenticación biométricas son más seguros para los usuarios”.

Aclaración

Puede ser de hecho muy problemático almacenar toda la información biométrica en un único lugar, pues no puede cambiarse como se puede hacer con una contraseña o un código: una vez comprometida, hay muy pocas formas de evitar un posible daño. Normalmente, la mayoría de entidades que tratan datos biométricos tienden a invertir un poco más en medidas de seguridad, dada la sensibilidad de la información. 

Equívoco

 “La autenticación biométrica es fuerte“.

Aclaración

La biometría en sí misma se considera débil debido a su protocolo de capa única de seguridad pero normalmente habrá otro pre-requisito que se requerirá antes de acceder a los datos biométricos, como por ejemplo la introducción de un código de empleado o la utilización de una tarjeta a fin de entrar en una sala con escáner de retina. Pero el escáner de retina como tal es débil.

Equívoco

 “La identificación y autenticación biométricas son agradables para el usuario”.

Aclaración

Dependiendo de la implementación y facilidad de inscripción y/o inclusión en estos sistemas biométricos, el resultado podría ser un proceso muy ágil o extremadamente tedioso y con problemas que son difíciles de rectificar, especialmente si se comparan con el simple acto de resetear una contraseña u obtener un nuevo código y desactivar o invalidad los anteriores. Los datos biométricos no se pueden cambiar una vez que se han recogido. 

Equívoco

 “La información biométrica convertida a hash no es recuperable”.

Aclaración

Como capa añadida de seguridad en el tratamiento de datos biométricos, se recomienda que el patrón biométrico del cual se obtuvo el “hash” o “biohash” sea eliminado. Sin embargo, algunos estudios muestran que es posible revertir el biohash y obtener el patron biométrico original, sobre todo si se ha obtenido la clave secreta. 

Equívoco

“La información biométrica almacenada no permite reconstruir la información biométrica original de la cual se obtuvo”. 

Aclaración

Los patrones biométricos o la información biométrica almacenada no permite la reconstrucción de la información biométrica original (por ejemplo, generar una cara de un patrón biométrico de reconocimiento facial). En algunos casos, la información biométrica reconstruida del patrón es lo suficientemente precisa para ser reconocida como la información original. La precisión de la reconstrucción depende de la cantidad de información biométrica recogida. 

Equívoco

 “La información biométrica no es interoperable”.

Aclaración

Los sistemas de tratamiento de información biométrica son diseñados especialmente para ser interoperables. Los sistemas que funcionan comparando el resultado de aplicar una función hash a los patrones biométricos pueden también hacerse interoperables simplemente compartiendo las claves usadas durante el proceso de hash. 

 

¿Cuáles son las implicaciones de esta información para mi negocio?

 

Comprender el concepto y el funcionamiento interno de los procesos de identificación y autenticación biométricos es esencial para asegurar que los datos se tratan de manera ética si tu negocio maneja este tipo de información. De esta forma, una correcta comprensión conduce en sí misma a una protección de los datos suficiente y adecuada. Es Importate señalar que el RGPD clasifica los datos biométricos como una categoría especial de datos en la gran mayoría de los casos, exigiendo protección adicional sobre los mismos. Los datos biométricos se consideran una categoría especial de datos personales desde el momento em que se utilizan “para la finalidad de identificar de manera única a una persona”. 

 

¿Tu empresa trata datos biométricos? Aphaia ofrece varios servicios en relación con el compliance relativo a datos personales, incluyendo datos biométricos, como  Evaluaciones de Impacto conforme al RGPD, Delegado de Protección de Datos y Evaluaciones de la Ética de la IAContacta con nosotros para saber más.