Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

El iris: ¿Cómo trata este dato biométrico la ley de Protección de datos?

Dentro de los datos biométricos, el iris es, quizás, uno de los más sensibles, dada su alta tasa de acierto en la autenticación e identificación de personas, así como por ser una de nuestras características físicas que no cambia con el paso del tiempo (salvo circunstancias excepcionales), esto lo convierte en un tipo de dato que se puede usar con fines de seguridad. ¿Pero cómo trata los datos biométricos del iris la ley de protección de datos?

¿Qué son los datos biométricos del iris?

Los datos biométricos del iris son aquellas características físicas únicas del iris de una persona: el color, el tamaño, las fibras lisas que enmarcan la pupila, muchas veces en combinación con la forma del ojo y las pestañas. En conjunto, estas características se convierten en un dato biométrico que puede usarse para identificar o autentificar a una persona de forma unívoca.

Dentro de la identificación biométrica, el iris es, actualmente, el dato biométrico más fiable, puesto que es uno de los métodos de identificación con el índice más bajo de falsos positivos. Además, a diferencia de la huella dactilar o el rostro, las características del iris no cambian a lo largo de la vida (con alguna excepción).

Así mismo, no hay dos iris iguales, cada iris es único, por lo que su empleo como método de seguridad es cada vez más relevante.

Cabe señalar también que algunas enfermedades dejan su rastro en el iris, por lo que es posible extraer datos relativos a la salud de una persona a través de su escaneo.

¿Cómo trata los datos biométricos del iris la ley de protección de datos?

La ley de protección de datos establece los datos biométricos del iris como datos de categorías especiales, cuando estos se usan para identificar de manera unívoca a una persona física. Por lo tanto, su tratamiento está prohibido, salvo que el interesado dé su consentimiento expreso o concurra alguna de las circunstancias recogidas en artículo 9.2 del RGPD.

Respecto al consentimiento expreso, cabe señalar que este debe ser libre y no estar condicionado; por ejemplo, dentro del ámbito laboral, solicitar el consentimiento de los empleados para usar el escáner de iris como medida para el control de acceso no sería válido, dada la diferencia en el equilibrio de poder entre empleador y trabajadores.

Pero más allá de que exista consentimiento del interesado u otra de las circunstancias establecidas en el RGPD, cuando se trata de datos biométricos y protección de datos, es necesario tener en cuenta y poner en práctica otras consideraciones para considerar que el tratamiento es lícito y de acuerdo a la ley, y esto, claramente, incluye el tratamiento de los datos biométricos del iris.

Dado que hablamos de un dato personal cuyo tratamiento conlleva un elevado riesgo de vulneración de los derechos y libertades de los interesados (por ejemplo, es peligroso escanear el iris para ceder este dato si no sabemos si existen otras finalidades más allá de la autenticación de la identidad), es necesario realizar con carácter previo al tratamiento una evaluación de impacto que debe tener en cuenta la idoneidad, necesidad y proporcionalidad del tratamiento, es decir, si el escáner del iris es el método más adecuado para conseguir la finalidad pretendida, si se obtienen más beneficios que riesgos para los interesados y si no existe una alternativa menos invasiva y que resulte menos peligrosa para los derechos y libertades de los interesados.

Si el tratamiento no supera este triple juicio o la evaluación de impacto en su conjunto, no se debería llevar a cabo. De superarla, se habrán de implementar las medidas técnicas y organizativas de seguridad necesarias para minimizar los riesgos y el impacto de su materialización en los interesados.

Por ejemplo, pensemos que se usa el escáner del iris para el control de acceso a unas instalaciones; si los datos del iris fuesen robados y estos no estuviesen debidamente protegidos, podrían usarse para suplantar la identidad y dejarían de servir como medida de seguridad, ya que el patrón del iris no se puede cambiar.

El tratamiento de datos biométricos como los del iris debería también considerar estos riesgos a largo plazo, especialmente teniendo en cuenta el potencial de la inteligencia artificial empleada en acciones maliciosas, como el hackeo de bases de datos.

Más allá del consentimiento y la evaluación de impacto, tratar los datos biométricos del iris también implica cumplir con las siguientes obligaciones:

  • Ser transparentes en cuanto quién es el responsable del tratamiento (lo que debe incluir su identidad y sus datos de contacto), para qué finalidad serán usados los datos y con qué base jurídica.
  • Qué se hará con los patrones escaneados del iris, que deberían ser borrados una vez se hayan convertido en un código hash (que, además, debería no permitir la reidentificación de la persona o no estar asociados con otros datos personales para evitar eso precisamente).
  • Facilitar los datos del Delegado de Protección de Datos.
  • El tiempo de conservación.
  • Si los datos serán cedidos a terceros y si esas cesiones se realizarán fuera de la UE.
  • La vía para ejercer los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento. Así como el derecho a presentar una reclamación ante la AEPD.

Así mismo, toda la información que se dé sobre el tratamiento de los datos biométricos del iris debe ser clara y comprensible para cualquier tipo de interesado.

tarifas proteccion datos

¿Cuáles son las sanciones por tratar los datos del iris vulnerando la ley de protección de datos?

Tratar los datos del iris, o cualquier otro dato biométrico, sin cumplir con las obligaciones que establece la ley de protección de datos y que hemos descrito en el punto anterior, puede suponer la imposición de sanciones elevadas, ya que estamos ante datos de categorías especiales, que tienen una mayor restricción y protección.

Por lo tanto, las sanciones podrían situarse en la horquilla de los 40.000 a los 20 millones de euros (o el 4% de la facturación anual, la cuantía que resulte superior).

Cabe señalar que la AEPD ya ha sancionado a entidades por el uso de datos biométricos, como el caso de un gimnasio que obligaba a sus socios a usar la huella dactilar para acceder a las instalaciones, sin ofrecer otra alternativa, lo que lo convertía en un tratamiento desproporcionado.

¿Para qué se pueden usar los datos de tu iris?

El uso del iris como dato biométrico tiene varias aplicaciones, aunque las más destacadas actualmente son las siguientes:

  • La autenticación biométrica para el control de accesos a ubicaciones que requieren un alto grado de seguridad (cómo hemos dicho, el iris es el dato biométrico más fiable).
  • El entrenamiento de modelos de IA para la identificación de personas frente a bots en internet.

En definitiva, la ley de protección de datos trata los datos del iris como datos biométricos y su tratamiento está prohibido, salvo que concurran alguna de las circunstancias del artículo 9.2 del RGPD y sea idóneo, necesario y proporcionado.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.