El document, dirigit a responsables, encarregats i delegats de protecció de dades, entre altres, té com a objectiu oferir informació sobre les confusions i imprecisions més comunes que se solen associar a l’ús d’aquesta tecnologia, de manera que aquests col·lectius puguin comprendre les implicacions d’una mena de tractament tan complex.

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat una nota tècnica que inclou catorze equívocs relacionats amb l’ús de la biometria i com afecten la protecció de dades. El document, dirigit a responsables, encarregats i delegats de protecció de dades, entre altres, té com a objectiu oferir informació sobre les confusions i imprecisions més comunes que se solen associar a l’ús d’aquesta tecnologia, de manera que aquests col·lectius puguin comprendre les implicacions d’una mena de tractament tan complex.

La nota tècnica ha estat desenvolupada al costat del Supervisor Europeu de Protecció de Dades (EDPS, per les seves sigles en anglès) en el marc de la col·laboració que manté l’AEPD en l’àmbit tecnològic amb diverses institucions nacionals i internacionals. La col·laboració amb l’EDPS es va materialitzar per primera vegada en el desenvolupament de la nota tècnica Introducció al hash com a tècnica de seudonimització de dades personals.

El Reglament General de Protecció de Dades (RGPD) defineix en el seu article 4 les dades biomètriques com aquelles “dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com a imatges facials o dades dactiloscòpiques”. Així mateix, quan les dades biomètriques s’usen com a mitjà d’identificació, el RGPD estableix en el seu article 9 que es tracta de categories especials de dades i prohibeix expressament el seu tractament dirigit a identificar de manera unívoca a una persona física.

Entre els equívocs més comuns relacionats amb la biometria es troba l’afirmació que els sistemes d’identificació i autenticació biomètrica són més segurs per als usuaris. En aquest sentit, l’Agència adverteix que l’accés no autoritzat a dades biomètriques en un sistema permetria o facilitaria l’accés en la resta dels sistemes que utilitzin aquestes dades biomètriques. Això tindria el mateix efecte a usar la mateixa contrasenya en molts sistemes diferents i, a diferència dels sistemes basats en contrasenyes, una vegada que la informació biomètrica ha estat compromesa, aquesta no es pot cancel·lar. També alerta que la informació biomètrica s’emmagatzema cada vegada en més entitats i dispositius, la qual cosa augmenta exponencialment la probabilitat d’una bretxa de seguretat d’informació biomètrica.

Un altre exemple dels catorze punts que componen el llistat és el referit al fet que la identificació i autenticació biomètrica és un sistema fort. Per definició, es considera que utilitzar únicament biometria constitueix un procés feble d’identificació i autenticació. Encara que en moltes ocasions l’autenticació biomètrica requereix un procés previ d’identificació, l’Agència alerta que si després del procés d’identificació l’autenticació és només biomètrica, continuaria sent un sistema feble.

Font: AEPD