Evaluación del impacto biométrico

Views: 666

Este año marcado por la inteligencia artificial fue la ocasión en la que abordé de manera particular las principales implicaciones del tratamiento biométrico en aplicaciones de uso común a fin de advertir cuáles son los principales riesgos asociados con su uso y, por otra parte, analizar cuáles son las condiciones que permiten la confiabilidad y seguridad de su adopción en nuestra vida cotidiana.

Seguramente quedaron muchos temas que pudieron desarrollarse con más detalle, o inclusive la reflexión sobre alguna temática particular, sin embargo, considero que es un buen momento para cerrar la serie de colaboraciones sobre el tema para dar paso al desarrollo de otras temáticas, sin perjuicio de que los elementos señalados en participaciones anteriores sirvan de referencia para todo lo relacionado con el uso de datos personales biométricos que se requiera con motivo de otras opiniones alusivas en este espacio.

En ese sentido, como parte de los mecanismos para la protección de datos personales encontramos que la legislación en la materia establece de manera permanente la adopción de medidas de seguridad, por lo que, en principio el uso de datos biométricos en cualquier sector, sea público o privado requiere que, se controlen todos los factores asociados a su uso ya que, por sí mismos representan parte de un ciclo de vida del dato personal que es autónomo o interactúa con otros procesos del mismo ciclo o diversos. Estos controles además se encuentran organizados de manera estratégica en el marco de sistemas de gestión, que, en el contexto del sector público implican la adopción de sistemas de gestión orientados a la protección de datos personales.

El modelo de seguridad de adopción de sistemas de gestión en materia de seguridad de la información resulta mucho más robusto que el nivel más alto exigido en el marco de la legislación de referencia en protección de datos personales en el mundo: el Reglamento Europeo de Protección de Datos, mismo que, si bien no excluye la adopción de dichos sistemas, la falta de referencia específica sí evita la exigencia de la adopción de un modelo de protección determinado y por ende, las salvaguardas se limitan a los parámetros establecidos en dicha legislación; razón por la cual, como señalé en mi colaboración de la semana pasada, la adopción de sistemas de gestión de calidad en el marco de la implementación de la inteligencia artificial, representa un hito representativo del uso de ese tipo de estándares en el control de las actividades que requieren una entropía para dar certeza de su funcionamiento adecuado.

Si bien, la adopción de un sistema de gestión por sí misma podría asegurar la debida protección de datos personales, una característica particular de la materia ha sido la innovación en medidas de protección, entre las cuáles, una de las más efectivas ha sido la adopción de evaluaciones de impacto en la protección de datos personales que, alineadas al desarrollo de otro tipo de evaluaciones similares en diversas materias, empezaron a utilizarse de manera extendida como una herramienta que permitía descartar la existencia de riesgos asociados con la implementación de determinados tratamientos sobre datos personales y que se hizo obligatoria de manera formal a partir de su reconocimiento como una medida especial de protección en el marco del Reglamento Europeo de Protección de Datos y que, a su vez en nuestro país se instituyó en el sector público como un requerimiento cuando se estuviera frente al tratamiento intensivo o relevante de datos personales de carácter general o particular, y, entre los de carácter particular encontramos la evaluación de impacto que debe realizarse con motivo de la implementación de tecnología de tipo biométrico.

En el ámbito del sector privado, si bien en el régimen de protección de datos no se reconoce de manera formal su obligación a la par que en el Reglamento Europeo, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que hoy se advierte, fue una legislación de avanzada para su época, reconocía de manera incipiente estudios de impacto a la privacidad, recientemente con el uso de una guía de facilitación, se orientó dicha atribución para el desarrollo de evaluaciones de impacto a la privacidad para el sector privado, conforme los principales estándares desarrollados en la materia.

Entre los aspectos que comprenden las evaluaciones antes citadas, se identifican diversos elementos formales que ya existirá la oportunidad de abordar, pero que, tratándose del ámbito biométrico hemos visto determinadas directrices que resulta necesario abordar, diferenciando en principio el enfoque, sea para usos de identificación fundacional o, de identificación en entornos controlados, y el nivel de intrusión que se tiene en torno a la población usuaria, así como, el nivel de riesgo asociado al tipo de dato personal utilizado y el estándar, sobre lo cual, ha quedado claro que cuando menos conforme los parámetros estudiados de uso común, al día de hoy representan de manera general, para medios digitales, como tecnologías de uso biométrico aceptadas las relativas a la lectura de la imagen del rostro, de la huella dactilar y el iris de los ojos, sin embargo, tal como se abordó  en diversas colaboraciones, deberá tenerse especial cuidado en el uso de las imágenes obtenidas en función de los demás datos que son susceptibles a ser explotados con motivo de las mismas imágenes, lo cual se ha explorado de manera dinámica con relación al uso de tecnologías aumentadas. Tratándose de usos o tecnologías biométricas diversas, deberán contar con sus propios parámetros de evaluación y de riesgos.

Además del uso y alcance en el tratamiento de datos personales, siempre que se trate del uso de datos biométricos se requiere analizar el contexto de implementación, puesto que, se ha observado que el uso de dichas tecnologías puede resultar desproporcional a pesar de que se estime que su uso es conveniente o cómodo y requiere además de la concienciación por parte de los usuarios.

Como elementos generales debe realizarse una revisión de todos los puntos de uso, obtención y contacto, a fin de evitar que dicha información pueda ser objeto de uso o acceso no autorizado, inclusive por todos los efectos que se le pueden dar a dichos datos en el marco de la identidad.

Finalmente, la evaluación debe tomar en consideración los efectos y alcances en los derechos, bienes y libertades de las personas que, representa creo, el principal indicador en torno a aquellos supuestos en el que los biométricos pueden generar un mayor impacto sobre todo puesto que por las cuestiones operativas y funcionales, las principales afectaciones que se pueden dar en el contexto de identidad son el de suplantación, la cual provocaría de manera más relevante afectaciones de índole patrimonial y en segundo grado de índole reputacional.

Así, como uno de los aspectos diferenciados en el marco de la protección de datos, debe tenerse cuidado con el perfilamiento de usuarios sobre todo considerando que el uso de datos personales biométricos también tiene implicaciones de índole clínico, médico o de salud y por ende, desde las muestras obtenidas en el marco de la identificación, autenticación y autorización puede dar cuenta de los elementos vitales de las personas de carácter dinámico, como los datos y perfiles asociados a los momentos en los cuáles dichos registros se generaron. Hasta la próxima.