¿Sabes cómo proteger tus datos biométricos?

El derecho humano a la privacidad incluye poder decidir, de manera libre e informada, la forma en la que proporcionamos nuestros datos personales a instituciones públicas y privadas, lo cual incluye limitar el uso de nuestros datos biométricos si no tenemos la certeza de que estos serán bien manejados.

Los datos biométricos, que son todas las propiedades físicas, fisiológicas, y de comportamiento del individuo, también pueden ser utilizados de manera fraudulenta si no existe un control adecuado de parte de quien los recolecta, y aun en el supuesto de que aquellos se resguarden apropiadamente, todos los ciudadanos tenemos el derecho a mantener en la confidencialidad nuestros datos biométricos, como lo son las huellas dactilares, el iris y la retina, entre otros.

¿Puedes negarte?

Sí, aunque te digan, por ejemplo, que es obligatorio proporcionar tus huellas dactilares para que en el banco te renueven tu tarjeta de débito, tienes derecho a negarte, en tanto que la institución financiera debe aplicar otros medios de identificación para entregarte el plástico solicitado.

En México no existe ningún fundamento legal que te obligue a dar tus datos biométricos a cambio de un bien o servicio financiero, tal y como lo están haciendo, de manera errónea, varios bancos en nuestro país.

Por eso, cuando vayas a renovar tu tarjeta, si decides no proporcionar tus huellas dactilares, lo cual -insisto- es un derecho, lleva además de la credencial de elector, tu pasaporte, tu licencia de conducir, y de ser posible hasta tu CURP y cédula profesional. Con todos estos documentos estarás probando tu identidad, por lo que no es necesario que el banco obtenga tus huellas.

Recuerda que la privacidad personal es un derecho humano contemplado en nuestra Constitución, y en diversos tratados internacionales que son de observancia obligatoria en nuestro país, ninguna disposición de las instituciones bancarias puede estar por encima de la carta magna.

Lee: ¿Vas a pedir un crédito? El banco te pedirá tus datos biométricos

¿Debes negarte?

Eso depende de qué tanto confías en la institución que te solicita los datos biométricos. Lamentablemente, en México son muchos y diversos los errores que se cometen en el manejo de datos personales, además de que se cree que los criterios para su recolección son un tema burocrático o administrativo, cuando en realidad estamos hablando de derechos humanos. 

En la Unión Europea (UE), por ejemplo, desde 2007 se recomendó limitar la recolección de datos personales cuando se utilicen tecnologías de la información, a fin de proteger al máximo el derecho a la intimidad.

La Comunicación “COM (2007) 228 final” de la Comisión Europea al Parlamento de ese bloque de países apunta que los servicios de información y comunicación deben reducir “al mínimo la recogida y el empleo de datos personales”, así como evitar “el tratamiento innecesario o indeseado” de estos. La Comisión Europea “es consciente de que la tecnología, pese a desempeñar un papel crucial en la protección de la intimidad, no basta por sí sola para garantizar” la privacidad.

En este caso, no se trata de oponernos a los avances tecnológicos, sino de saber exactamente cómo estos adelantos nos permiten proteger nuestros datos biométricos, pues si estos son divulgados o utilizados de manera fraudulenta se sufre un daño irreparable.

Volviendo al ejemplo de las huellas dactilares que se están solicitando en algunas instituciones bancarias, aunque uno lo pida, estas se niegan a proporcionar al cliente los detalles sobre los mecanismos utilizados para almacenar este tipo de datos. Es decir, no sabemos el tipo de archivo que se genera con la recolección de las huellas, se desconoce quiénes son las personas autorizadas para acceder a esa información, y tampoco se nos dice si esta se muestra encriptada.

No basta decir que nuestros datos biométricos están protegidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, pues justo por esa protección tenemos derecho a conocer la forma específica en la que se almacenan nuestros datos, y si así lo queremos, también tenemos derecho a no proporciona nuestras características biométricas, solicitando que nuestra identificación se haga por otros medios.

¿Cómo protegerte?

De acuerdo con la Guía para el Tratamiento de Datos Biométricos elaborada por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), existen tres formas para que una institución, pública o privada, verifique la identidad de una persona: A través de algo que la persona sabe, por ejemplo, una contraseña o un pin; con algo que la persona posee (tarjeta, token o aplicación); y por medio de algo que la persona es (dato biométrico).  

Según el INAI, el robo de un dato biométrico y la posibilidad de su uso posterior, en perjuicio de su titular, es más complicado, si se compara con los riesgos que se corren en caso de que terceras personas conozcan nuestra contraseña. Sin embargo, el mismo INAI reconoce que “las medidas de prevención de los sistemas biométricos no cuentan con el mismo nivel de madurez” que ya se tiene en las dos primeras formas de identificación del usuario.

Por eso es importante extremar las precauciones a la hora de proporcionar este tipo de información, pues los biométricos son datos sensibles cuyo uso ilegítimo pone en grave riesgo a su titular. Por ejemplo, advierte el INAI, “el dato biométrico del iris podría considerarse (dato) sensible en los casos en que permita obtener información sobre el estado de salud de su titular”.

Lo mismo sucede con la huella dactilar, esta se convierte en un dato sensible “si a través de un uso indebido de la misma se puede tener acceso a información privilegiada que pudiera poner en riesgo la seguridad o estabilidad patrimonial o financiera de una persona, o incluso su condición jurídica”.

Considerando estos elementos, antes de proporcionar cualquier dato biométrico se recomienda que solicites -por escrito- el propósito, motivo o razón por el que se te están pidiendo estos datos; la instancia, ya sea pública o privada, también debe justificar la finalidad y la manera en la que almacenará esta información, además de detallar los mecanismos de protección que aplicará a la misma.

Coincidiendo con la Comunicación “COM (2007) 228 final” de la Comisión Europea, el INAI considera que los datos personales recabados deben ser “los mínimos necesarios para lograr la finalidad o finalidades para las cuales se obtuvieron”.

Es decir, si el objetivo es identificar plenamente a una persona, primero deben pedirse medios de identificación que no invadan la esfera de privacidad del individuo, dejando en última instancia la información más delicada, como lo son los datos biométricos.

Surya Palacios Periodista y abogada, especialista en análisis jurídico y de derechos humanos. Ha sido reportera, conductora de radio y editora.