Uso legítimo de datos biométricos
en cédulas de identificación
en un Estado democrático de derecho

Introducción

En un contexto de transformación digital acelerada, el uso de tecnologías biométricas ofrece oportunidades para obtener numerosos beneficios que brindan certeza, comodidad y eficiencia en diversas áreas de la vida.

El uso de datos biométricos por parte del Estado no es la excepción, lo que no ha estado libre de un debate legítimo entre eficiencia, necesidad, seguridad y derechos fundamentales, dadas las capacidades de los gobiernos frente a los ciudadanos.

La implementación de documentos de identidad con componentes biométricos representa sin duda una herramienta útil para garantizar el acceso a derechos y servicios públicos, para dar certeza en trámites incluso frente a instituciones privadas, pero siempre que se acompañen de controles normativos, institucionales y técnicos que garanticen la legalidad, necesidad, proporcionalidad, seguridad y transparencia del tratamiento de estos datos personales sensibles.

¿Qué son los datos biométricos y por qué importan?

El Reglamento General de Protección de Datos Personales de la Unión Europea (RGDP) refiere que los datos biométricos son aquellos datos personales obtenidos a partir de características físicas, fisiológicas o conductuales únicas de una persona que permiten su identificación, tales como la huella digital, el iris, el reconocimiento facial o la voz. Su relevancia radica en que, al ser únicos, presentan por una parte la certidumbre de que acreditan a quien corresponden, pero al mismo tiempo presentan, altos riesgos de afectación a la privacidad y de uso indebido si no se tratan con garantías adecuadas.

Algunos ejemplos actuales de la biometría en cédulas de identidad digital.

En plena era digital contar con una forma de acreditación confiable de la identidad de una persona, es un pilar fundamental para llevar a cabo operaciones de toda índole de forma segura. La biometría garantiza justamente esa seguridad que se requiere.

Los usos de datos biométricos encuentran múltiples ejemplos en el ámbito internacional y desde hace décadas diversos países han incorporado datos biométricos en documentos oficiales de identidad dado que brinda mucho mayor certeza que la sola emisión de un documento como las actas de nacimiento, que, aunque se encuentren certificadas, por sí solas no garantizan acreditar la unicidad en las personas

Estonia es un ejemplo del uso de un modelo robusto de una cédula de identidad digital, la llamada ID-kaart, que después de incidentes importantes, cuenta con mayores garantías de seguridad digital. Esta tarjeta se utiliza como un nodo identificador para múltiples servicios, tales como médicos, bancarios, de transporte público, e incluso como documento de viaje dentro de la Unión Europea, entre otros.

India ha desarrollado el sistema Aadhaar, un sistema de identificación nacional súper ambicioso, que le otorga identidad digital a los ciudadanos mayores de 18 años. Esta identificación utiliza datos biométricos y con ella se pueden acceder a servicios públicos, cumplir con obligaciones tributarias y trámites bancarios. Según datos de Apolitical¹, en 2017 ya había un promedio de 15 millones de transacciones diarias en la India que utilizan Aadhaar.

España ha sido pionera del desarrollo de identidad digital y planea para 2026 un nuevo modelo más sofisticado que el actual DNI con chip integrado, que responda a las necesidades de los nuevos desafíos tecnológicos, planteando ofrecer mayor sencillez para el usuario, posibilidad de interoperabilidad, adaptación y mejor seguridad.

Frente a los beneficios que ofrece la cédula de identidad digital con datos biométricos, existe la preocupación respecto a la recopilación de datos por parte del Estado que sumada a la capacidad de las nuevas tecnologías nos ubican en el riesgo de una vigilancia masiva.

La historia nos muestra diversos ejemplos de regímenes autoritarios que han utilizado el control y la observación sistemática de la población como herramientas para reprimir disidencias, vulnerar derechos y consolidar el poder. La recopilación masiva de datos sin salvaguardas sólidas representa una amenaza a las libertades y puede socavar la privacidad, lo que se traduce en un abuso de poder.

Preocupaciones en torno a la privacidad y a la posibilidad de que una gran base de datos de identificación llegue a manos equivocadas han sido una constante cuando se se expide  una cédula de identidad digital, por ello, frente a su desarrollo, el antídoto idóneo, es contar con una serie de elementos que coexisten para garantizar el riesgo mínimo del uso indebido de dichos datos.

Criterios de procedencia para el uso estatal de datos biométricos.

La procedencia del uso de datos biométricos por parte del Estado debe justificarse bajo principios de protección para las personas, una cédula que incluye datos biométricos garantiza su identidad, pero en ese contexto deben cumplirse principios como el de licitud, finalidad, proporcionalidad, así como los deberes de seguridad y responsabilidad, así como otros aspectos relevantes previstos en la normatividad de protección de datos.

Para garantizar un tratamiento legítimo de datos biométricos, es imprescindible implementar controles y garantías tales como evaluaciones de impacto a la privacidad, una responsabilidad demostrada, autoridades independientes con atribuciones de supervisión, mecanismos para ejercer derechos, medidas de seguridad técnica avanzadas e idealmente la participación y vigilancia ciudadana en el diseño e implementación de sistemas biométricos.

La Agencia Española de Protección de Datos publicó en 2023 la Guía para el Tratamientos de Control de Presencia mediante sistemas biométricos², considerando el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos.

La referida Guía establece un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:

1. Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
2. Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
3. Implementar medios técnicos para asegurarse de la imposibilidad de utilizar las plantillas para cualquier otro propósito.
4. Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
5. Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
6. Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
7. Implementar la protección de datos desde el diseño.
8. Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.

Asimismo, en el contexto de la confianza que debe otorgar el Estado, hay estándares internacionales que recomiendan una serie de parámetros, para fortalecer la certeza por parte de la sociedad, cuando datos como éstos son utilizados en un supuesto de excepción, como es la materia de seguridad nacional, es decir, mediante ley es posible modular válidamente la aplicación de principios en materia de protección de datos personales. Esos parámetros son los siguientes:

• La finalidad que debe atender a un interés público.
• Las categorías de datos que comprende ese tratamiento de excepción.
• El alcance de estas excepciones (temporalidad, grupos, entre otros).
• Las garantías adecuadas para mitigar accesos o transferencias ilícitas o desproporcionadas.
• El o los responsables del tratamiento.
• El plazo de conservación de estos datos.
• Los posibles riesgos para los derechos de los titulares, y
• El derecho de los titulares a ser informados sobre esta excepción, salvo que ello contravenga el interés público que se persigue.

Lo anterior se ilustra en los Estándares Iberoamericanos de Protección de Datos Personales para los Estados Iberoamericanos, e incluso en el artículo 9, numeral 2 del Convenio 108 del que México es parte, que prevé la posibilidad de que existan excepciones, definidas en ley  por cada país, siempre que las excepciones se den en el contexto de una sociedad democrática.

La confianza ciudadana se construye mediante procesos normativos transparentes, participativos y con rendición de cuentas, el tratamiento de datos biométricos no es la excepción, sus beneficios deben ser correlativos a los elementos que se implementen para generar esa confianza.

Conclusiones

El tratamiento de datos biométricos para efectos de identificación indubitable de individuos en plena  era digital, especialmente tratándose de instituciones del Estado, resulta en una herramienta indispensable para el buen funcionamiento del mismo.

El desarrollo tecnológico actual nos ha permitido un aprovechamiento sin precedentes de este tipo de datos en beneficio de las personas, para la mejora de trámites, servicios y ejercicio de derechos, entre otros.

El uso de datos biométricos es legítimo, y no por ello se debe desestimar la necesidad de garantizar parámetros que por una parte brinden certeza  y por la otra eviten usos discrecionales o indebidos, en atención a la importancia de este tipo de datos.

Un enfoque centrado en derechos humanos implica diseñar sistemas con garantías desde su origen, establecer límites claros y fortalecer las capacidades institucionales para la supervisión y rendición de cuentas.

El Estado puede modernizar su capacidad de identificación sin sacrificar derechos fundamentales ni erosionar la confianza pública.

 

---

¹ https://apolitical.co/solution-articles/es/india-creo-la-mayor-base-de-datos-de-identidades-de-residentes-del-planeta

² https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-una-guia-sobre-la-utilizacion-de-datos