Togas.biz

Reconocimiento facial – Opinión sobre el criterio de la AEPD

Tras una segunda lectura del informe 36/2020, a raíz de la evaluación de impacto realizada para un cliente, he generado una opinión distinta a la manifestada por la AEPD al considerar los datos biométricos asociados al patrón facial de un usuario como categoría especial de datos.

Identificación versus autenticación o verificación

La AEPD cita el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29 sobre la evolución de las tecnologías biométricas y asume como válida la distinción entre identificación biométrica y verificación o autenticación biométrica:

  1. Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
  2. Verificación o autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno- a-uno).

También cita el Libro blanco sobre la inteligencia artificial de la Comisión Europea, en el que se establece la misma distinción, pero con algunos matices distintos:

  1. Identificación: se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella.
  2. Autenticación o verificación: se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona. Así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma.

La AEPD indica que, atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación o autenticación. Sin embargo, y según la AEPD, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación o autenticación biométrica (uno-a-uno).

Fases de los dos procesos

En mi opinión, las fases de la identificación son las siguientes:

  1. Captura de la imagen de un interesado desconocido.
  2. Objetivo, finalidad o interés de identificar al interesado desconocido a través del tratamiento.
  3. Generación del patrón facial biométrico del interesado.
  4. Acceso a una base de datos con múltiples patrones faciales asociados a identidades ciertas.
  5. Comparación entre el patrón facial del desconocido y los de la base de datos.
  6. Hallazgo de una coincidencia total o parcial.
  7. Identificación del desconocido a través de la asociación del patrón obtenido con una identidad.

En cambio, en mi opinión, las fases de la autenticación o verificación son las siguientes:

  1. Registro del interesado.
  2. Proceso de acreditación de su identidad mediante un documento indubitado.
  3. Obtención de un patrón facial biométrico del interesado (DNI o Pasaporte)
  4. Opcionalmente, obtención del patrón facial biométrico de la foto del documento indubitado.
  5. Opcionalmente, comparación y asociación de estos dos patrones.
  6. Conservación del patrón facial en una base de datos asociado al ID del interesado.
  7. Inicio del proceso de autenticación de un supuesto usuario que utiliza el ID del interesado.
  8. Obtención de la imagen del supuesto usuario registrado.
  9. Generación del patrón facial biométrico del supuesto usuario.
  10. Comparación del patrón facial del supuesto usuario con el patrón asociado al ID utilizado.
  11. La diferencia aquí es que la comparación se produce únicamente con el patrón asociado al ID.
  12. Verificación de que el usuario del ID es realmente quien dice ser.

Conclusión de la AEPD

Tras el análisis del caso concreto planteado, consistente en el uso del reconocimiento facial en los exámenes online para verificar que el alumno es realmente quien dice ser y que no se ha producido una suplantación de identidad, la AEPD concluye que los datos biométricos obtenidos pertenecen a una categoría especial de datos.

Para llegar a esta conclusión la AEPD se apoya en tres factores que considero decisivos:

  1. El carácter continuado de la verificación.
  2. El uso de datos adicionales tanto biométricos como no biométricos.
  3. La posibilidad de que se traten los datos biométricos de un tercero.

Carácter continuado de la verificación

La AEPD sostiene que una de las características de los sistemas de e-proctoring existentes en el mercado es que garantizan la identificación del alumno mediante el reconocimiento facial, evitando la suplantación de su identidad, no solo en el momento inicial, sino a lo largo del desarrollo de toda la actividad, para lo cual se graba la misma y se van realizando diferentes capturas que se comparan con la información biométrica previamente almacenada en sus bases de datos.

En mi opinión, la finalidad del tratamiento no cambia por el simple hecho de repetir el proceso varias veces a lo largo del tratamiento. Realizar una autenticación varias veces en una misma sesión no convierte la autenticación en identificación, ya que la comparación sigue siendo uno contra uno entre:

  1. El patrón facial biométrico que el responsable del tratamiento obtuvo en el momento del registro del usuario y que asoció a su ID.
  2. El patrón facial biométrico que el responsable del tratamiento obtiene del usuario al iniciar la sesión, durante la sesión y al finalizar la sesión.

Este proceso se denomina autenticación continuada o dinámica y está contemplado en distintas metodologías, manuales y artículos de seguridad de la información.

A continuación cito algunos de ellos:

Autenticación continua del usuario basada en interacción táctil (UAM) – https://repositorio.uam.es/handle/10486/684803

Sistema de autenticación continua de ElevenPaths – https://empresas.blogthinkbig.com/authcode-autenticacion-ciberseguridad/

Patrones biométricos y autenticación dinámica (INCIBE) – https://www.incibe-cert.es/blog/autenticacion-dinamica

Sistema Biométrico Multimodal para Autenticación continua de Usuarios Online – https://www.vicomtech.org/es/idi-tangible/proyectos/proyecto/sistema-biometrico-multimodal-para-autenticacion-continua-de-usuarios-online

Uso de datos adicionales

La AEPD manifiesta que el patrón facial se complementa, en este caso, con el tratamiento de otro tipo de datos biométricos, como las pulsaciones en el teclado y de datos no biométricos, como la grabación del entorno en el que se encuentra el alumno, así como el acceso al micrófono para la grabación de sonidos.

La Agencia da a entender que la acumulación de estos factores modifica la finalidad del tratamiento, pasando de autenticación a identificación.

Sin embargo, la AEPD no tiene en cuenta la existencia de la autenticación multifactor, en la que el uso de distintas técnicas o datos adicionales no modifica la esencia del tratamiento, que sigue correspondiendo a la finalidad de autenticar al usuario.

La autenticación de múltiples factores (AMF) consiste en que el usuario suministre dos o más pruebas diferentes de que realmente es quien dice ser.

La autenticación de doble factor (A2F) es un método utilizado para verificar o confirmar que un usuario es quien dice ser combinando dos componentes diferentes de entre:

  1. Algo que el usuario sabe.
  2. Algo que el usuario tiene.
  3. Algo que el usuario es.

En todos estos casos la finalidad sigue siento autenticar, verificar o confirmar que el usuario es quien dice ser, y se comparan datos que sabemos con certeza que pertenecen al usuario con datos que suministra la persona que afirma ser el usuario. Por lo tanto, la comparación sigue siendo uno contra uno.

Además, la dispersión de la capacidad autenticadora entre varios factores produciría el efecto contrario al sugerido por la AEPD, ya que debilitaría el requisito exigido en el artículo 9 del RGPD a los datos biométricos, relativo a la finalidad de identificar de forma unívoca al interesado.

Intervención del tercero suplantador

La intervención de un tercero que intenta suplantar al usuario no cambia tampoco la finalidad de la autenticación. Justamente el principal objetivo de la autenticación es mantener el contacto con el usuario esperado y no permitir que otro lo suplante.

Tal como indica el Libro blanco sobre la inteligencia artificial de la Comisión Europea, que la AEPD toma como referencia, en el proceso de autenticación se realiza una comparación de dos patrones biométricos que, en principio, se supone que pertenecen a la misma persona. Las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma.

Aunque en el proceso de autenticación intervenga una persona distinta al usuario, no se produce un cambio en la finalidad ni en la operativa, ya que el patrón obtenido de la persona que intenta suplantar al usuario se presenta como un patrón propio del usuario suplantado. Ello significa que sigue habiendo una comparación uno contra uno entre el patrón original asociado al ID y el patrón que desea ser autenticado.

La clave, por lo tanto, es que se comparan dos patrones asociados a un mismo ID.

Necesidad de una evaluación de impacto

La Agencia considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.

Esta apreciación hace recomendable realizar una evaluación de impacto, en la que se valorará la necesidad y la proporcionalidad del tratamiento y los detalles del proceso que permitirán determinar si estamos ante una identificación o una autenticación.

Autenticación sin ID

El objetivo final de este análisis es determinar en qué escenarios se produce un riesgo real para los derechos y libertades del interesado, y valorar los efectos de una comparación entre patrones biométricos en función de la finalidad y otros detalles a tener en cuenta para llegar a una conclusión caso por caso.

Lo que en mi opinión está claro es que no es lo mismo que un interesado aporte los datos para acreditar que es realmente él, que identificar a un delincuente en un aeropuerto entre miles de caras anónimas.

En el primer caso la finalidad es autenticar a una persona que se presenta con una identidad determinada, haciendo referencia a un acto de identificación anterior en el tiempo en el que su patrón facial quedó asociado a un ID. La finalidad es comparar los datos que aporta con los que se almacenan en el registro, asociados de forma indubitada a esa identidad. Es por lo tanto la verificación de una supuesta identidad.

En el segundo caso, las personas que la cámara captura no están identificadas, son personas anónimas, desconocidas para el sistema. Lo que hace el sistema es comparar los patrones biométricos obtenidos en ese momento con los de una base de datos de identidades. En caso de coincidencia se produce una identificación.

En mi opinión, la línea propuesta en el Libro blanco sobre la inteligencia artificial de la Comisión Europea es la más adecuada, ya que en la autenticación tiene en cuenta el uso de un único ID por parte del usuario legítimo y del ilegítimo, centrándose la comparación entre el patrón facial asociado al ID en la base de datos y el patrón facial obtenido en el momento de la autenticación o verificación de que el usuario es quien dice ser.

La regla general sería que, salvo en las excepciones que admiten los dos procesos, identifico al desconocido y autentifico al conocido.

Pero ¿qué pasa entonces con la autenticación sin ID, es decir la que utiliza únicamente los datos biométricos?

Siguiendo el criterio expresado hasta ahora, no sería una autenticación, sino una identificación, ya que el patrón biométrico sería comparado con todos los patrones biométricos de la base de datos hasta hallar una coincidencia. (Comparación uno contra todos)

Pero hay una diferencia clara entre la esencia de la autenticación y la esencia de la identificación: el interesado que intenta autenticarse defiende que es un usuario registrado y por lo tanto legítimo, por lo que volveríamos a estar ante la figura del supuesto usuario. En este caso, la finalidad principal del proceso no sería identificar al interesado que se presenta como usuario legítimo, sino verificar que realmente es un usuario legítimo. Aunque en algunos casos la autenticación se produciría a través de la identificación, ésta sería una finalidad instrumental o secundaria. Es decir, la finalidad principal y esencial sería valorar su derecho de acceso y no su identidad. De hecho cabe la posibilidad de crear cuentas anónimas con derechos de acceso. Por ejemplo, para un denunciante anónimo en un canal de denuncias con acceso continuado.

Si medimos el impacto en la privacidad de la autenticación sin ID y la identificación pura de un desconocido, veremos que en esta última se produce un impacto mayor, no sólo en la privacidad, sino también en el conjunto de los derechos y libertades del interesado.

Factor adicional

A partir de esta reflexión, un factor adicional que propongo tener en cuenta es la participación activa del usuario en la autenticación (tanto el usuario legítimo como el suplantador) y la participación habitualmente pasiva, o incluso elusiva, del interesado en la identificación.

En el proceso de autenticación, el interesado que suministra sus datos biométricos defiende activamente su derecho a acceder al sistema o a ser beneficiario de unos permisos, privilegios o prerrogativas. Y la finalidad principal es verificar si ello es así.

En los casos en los que resulte aplicable este factor adicional, además del número de patrones que se comparan entre si, debería valorarse también que en la autenticación es el interesado el que aporta sus credenciales para ser autenticado, mientras que en la identificación, la propia identidad de la persona a identificar forma parte de su privacidad, y lo que el derecho protege en este caso, es su opción a no ser identificada.

Sigue el debate

El tratamiento de los datos biométricos en relación a las categorías especiales de datos ha sido objeto de un intenso e interesante debate en la sección GDPR Hacks de Campus Ribas.

Te invito a participar en él.

Categoria

TIC - TIC, TIC - Protección de Datos, Prop Industrial e Intelectual - Propiedad Intelectual

Fuente: Ribas & Asociados

Source
Subscribirse al Directorio Escribir un Artículo

Destacadas

Diapositiva de Fotos

Etiquetas

Acerca de nosotros

Directorio de profesionales

Newsletter

¡Suscríbase a nuestro newsletter para estar al día con las últimas noticias y ofertas!

Contacte con nosotros

Togas.biz
Togas.biz - Newco Professional SL
Deu i Mata, 152
Barcelona, Barcelona 08029
P: +34 606 96 07 82 ( Urgencias )

2024 © Togas.biz - Newco Professional SL. Todos los derechos reservados. Terminos y Condiciones | Política de Privacidad

Actualidad

Auditoría - Auditoría Derecho Administrativo - Administrativo Derecho Administrativo - Consumidores y Usuarios Derecho Administrativo - Contencioso Administrativo Derecho Administrativo - Contratación Administrativa Derecho Administrativo - Energía Derecho Administrativo - Expropiaciones Derecho Administrativo - Medio Ambiente Derecho Civil - Accidentes de Tráfico Derecho Civil - Arrendamientos Derecho Civil - Civil Derecho Civil - Comunidad de Propietarios Derecho Civil - Derecho Contractual Derecho Civil - Derecho de los Consumidores y Usuarios Derecho Civil - Derechos de Imagen Derecho Civil - Familia y Adopciones Derecho Civil - Responsabilidad Civil Derecho Civil - Seguros Derecho Civil - Sucesiones Derecho Comunitario - Comunitario Derecho Constitucional - Constitucional Derecho Financiero - Corporate Finance Derecho Financiero - Derecho Bancario Derecho Financiero - Derecho Financiero Derecho Financiero - Mercados de Valores y de Capitales Derecho Fiscal - Fiscal Derecho Fiscal - Fiscalidad Internacional Derecho Fiscal - Fiscalidad matrimonial y familiar Derecho General - Opinión Derecho Internacional - Internacional Privado Derecho Laboral - Laboral Derecho Laboral - Prevención de Riesgos Derecho Laboral - Seguridad Social Derecho Mercantil - Agroalimentario Derecho Mercantil - Competencia Derecho Mercantil - Compliance - Cumplimiento Legal Derecho Mercantil - Concursal Derecho Mercantil - Consumidores y Usuarios Derecho Mercantil - Contratación Mercantil Derecho Mercantil - Empresa Familiar Derecho Mercantil - Franquicias Derecho Mercantil - Fundaciones y Asociaciones Derecho Mercantil - Fusiones y Adquisiciones Derecho Mercantil - Mercantil Derecho Mercantil - Reclamaciones de Cantidad Derecho Mercantil - Societario Derecho Mercantil - Transportes y Marítimo Derecho Penal - Accidentes de Tráfico Derecho Penal - Consumidores y Usuarios Derecho Penal - Corporate Compliance Derecho Penal - Derecho Penitenciario Derecho Penal - Negligencias Médicas Derecho Penal - Penal Derecho Penal - Penal - Honor e Imagen Derecho Penal - Penal Económico Derecho Penal - Penal Laboral Derecho Penal - Penal Medio Ambiente Derecho Penal - Penal Societario Derecho Procesal - Procesal Extranjería y Nacionalidad - Extranjeria y Nacionalidad Formación - Formación Hipotecario y Registral - Hipotecario y Registral Inmobiliario y Urbanismo - Construcción Inmobiliario y Urbanismo - Inmobiliario Inmobiliario y Urbanismo - Urbanismo Innovación y Emprendimiento - Biotecnología Innovación y Emprendimiento - Nuevas tecnologías, medios y telecomunicaciones Innovación y Emprendimiento - Startups Institucional - Actualidad despachos Institucional - Colegios y Entidades Profesionales Institucional - Organismos Públicos Inversiones en el extranjero - Inversiones en el extranjero Investigación Privada - Investigación Privada Marketing y Gestión - Marketing y Gestión Mediación y Arbitraje - Mediación y Arbitraje Noticias - Despachos News Noticias - Entorno Jurídico Ocio y Deporte - Deportivo Ocio y Deporte - Industria del Ocio Peritaje - Peritaje Prop Industrial e Intelectual - Competencia Prop Industrial e Intelectual - Propiedad Industrial, Patentes y Marcas Prop Industrial e Intelectual - Propiedad Intelectual Sanitario y Farmacéutico - Negligencias Médicas Sanitario y Farmacéutico - Sanitario y Farmacéutico TIC - Audiovisual TIC - Comercio Electrónico TIC - Derecho Informático TIC - Protección de Datos TIC - Telecomunicaciones TIC - TIC

Directorio

Abogados Accidentes de Tráfico Abogados Accidentes Laborales Abogados Alquileres y Arrendamientos Abogados Blanqueo de Capitales Abogados Blockchain Abogados Comercio Electrónico Abogados Comunidad de Propietarios Abogados Contencioso Administrativo Abogados Contratación Administrativa Abogados Contratación Mercantil Abogados Corporate Compliance Abogados Corporate Finance Abogados Derecho Administrativo Abogados Derecho Aduanero Abogados Derecho Agrario Abogados Derecho Agroalimentario Abogados Derecho Audiovisual Abogados Derecho Bancario Abogados Derecho Civil Abogados Derecho Comunitario Abogados Derecho Concursal Abogados Derecho Constitucional Abogados Derecho de Extranjería y Nacionalidad Abogados Derecho de Franquicias Abogados Derecho de la Competencia Competencia desleal Abogados Derecho de la Construcción Abogados Derecho de la Energía Abogados Derecho de las Telecomunicaciones Abogados Derecho de las TIC Abogados Derecho de los Consumidores Abogados Derecho de los Seguros Abogados Derecho de Sucesiones Abogados Derecho de Transportes y Marítimo Abogados Derecho del Medio Ambiente Abogados Derecho Deportivo Abogados Derecho Financiero Abogados Derecho Fiscal Abogados Derecho Hipotecario y Registral Abogados Derecho Informático Abogados Derecho Inmobiliario Abogados Derecho Internacional Privado Abogados Derecho Laboral Abogados Derecho Mercantil Abogados Derecho Penal Penalistas Abogados Derecho Penal Económico Abogados Derecho Penitenciario Abogados Derecho Procesal Abogados Derecho Sanitario y Farmacéutico Abogados Derecho Societario Abogados Derechos de Imagen Abogados Divorcios Familia y Adopciones Abogados Empresa Familiar Abogados Expropiaciones Abogados Fiscalidad Internacional Abogados Fiscalidad matrimonial y familiar Abogados Fusiones y Adquisiciones Abogados Gestión de Riesgos Abogados Herencias y Testamentos Abogados Impuestos Especiales Abogados Industria del Ocio Abogados Inversiones en el extranjero Abogados Investigación Privada Abogados Marketing y Gestión Abogados Mediación y Arbitraje Abogados Mercados de Valores y de Capitales Abogados Negligencias Médicas Abogados Nulidades eclesiásticas Abogados Penal Honor e Imagen Abogados Penal Laboral Abogados Penal Medio Ambiente Abogados Penal Societario Abogados Peritaje Abogados Prevención de Riesgos Laborales Abogados Propiedad Industrial Patentes y Marcas Abogados Propiedad Intelectual Abogados Protección de Datos Abogados Reclamaciones de Cantidad Abogados Responsabilidad Civil Abogados Seguridad Social Abogados Urbanismo Peritos Abogados Administradores Concursales Peritos Accidentes y Siniestros Peritos Actuarios de Seguros Peritos Administradores Auditores Concursales Peritos Agentes de la Propiedad Inmobiliaria Peritos Arquitectos Peritos Arquitectos Técnicos Peritos Auditores de Cuentas Peritos Averías Peritos Biólogos Peritos Caligrafos Pericia Caligrafica Peritos Cirugía Plástica Estética y Reparadora Peritos Comisario de Averías Marítimo Peritos Construcción Rehabilitación y Urbanismo Peritos Criminalistas Peritos Daños Peritos Documentoscópicos Peritos Economistas Peritos Economistas Administradores Concursales Peritos Expertos Inmobiliarios Peritos Filatelia y Numismática Peritos Geología y Medio Ambiente Peritos Informática Forense Peritos Ingenieros Agrónomos Peritos Ingenieros de Caminos Peritos Ingenieros de Telecomunicaciones Peritos Ingenieros Industriales Peritos Ingenieros Informáticos Peritos Ingenieros Navales Peritos Ingenieros Técnicos Agrícolas Peritos Ingenieros Técnicos Industriales Peritos Instalaciones eléctricas Peritos Mediación concursal Peritos Medicina del Trabajo Peritos Peritos Judiciales Peritos Peritos Médicos Medicina Pericial y Forense Peritos Prevención de Riesgos Laborales Peritos Propiedad Industrial e Intelectual Peritos Pruebas de ADN Peritos Psicólogos Psicología Pericial y Forense Peritos Psiquiatras Psiquiatría Pericial y Forense Peritos Químicos Peritos Reconstrucción de accidentes Peritos Recursos Humanos y Salud Laboral Peritos Técnicos Informáticos Peritos Tasadores Peritos Tasadores de Arte y Pintura Peritos Tasadores de Joyas y Gemología Valoraciones Peritos Tasadores de Seguros Peritos Tasadores inmobiliarios Valoración de Inmuebles Peritos Tasadores Textiles Peritos Titulados Mercantiles y Empresariales Peritos Topógrafos Ingenieros Técnicos en Topografía Peritos Toxicología Peritos Valoracion del Daño Corporal Peritos Valoraciones de empresas Peritos Veterinarios Procuradores Procuradores Detectives Detectives Privados Asesoría Fiscal Asesores Fiscales Agentes Propiedad Industrial Agentes de la Propiedad Industrial Agentes Propiedad Industrial Registro Patentes y Marcas Gestores Gestores Administrativos Auditores Auditoría de Cuentas Administración Concursal Administradores Concursales

Provincias

Álava Albacete Alicante Almería Asturias Ávila Badajoz Barcelona Burgos Cáceres Cádiz Cantabria Castellón Ceuta Ciudad Real Córdoba Cuenca Girona Granada Guadalajara Guipúzcoa Huelva Huesca Islas Baleares Jaén La Coruña La Rioja Las Palmas León Lleida Lugo Madrid Málaga Melilla Murcia Navarra Orense Palencia Pontevedra Salamanca Santa Cruz de Tenerife Segovia Sevilla Soria Tarragona Teruel Toledo Valencia Valladolid Vizcaya Zamora Zaragoza