Por: Alejandro Esquivel Castillo

En México casi todos hemos escuchado hablar acerca de la Protección de Datos Personales. Otros, sabemos que existe una Ley Federal para la Protección de Datos Personales; y otros tantos que existe la Ley de Protección de Datos Personales en Posesión de Particulares. Pero muy pocos entendemos realmente su contenido y en consecuencia cómo debemos aplicarla y hacerla aplicar.

Partamos de conceptos básicos:

Un dato personal es cualquier información concerniente a una persona física identificada o identificable. Un ejemplo claro es nuestro propio nombre.

Un dato personal se clasifica como sensible si dicha información afecta a la esfera ms íntima de la persona, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual.

Los datos biométricos son las propiedades físicas, fisiológicas, de comportamiento o rasgos de personalidad, atribuibles a una sola persona y que son medibles; cuyas propiedades, en menor o mayor medida, son: 1) universales, pues son datos con los que contamos todas las personas; 2) únicos, puesto que no existen dos biométricos con las mismas características, por lo que nos distinguen de otras personas; 3) permanentes, pues se mantienen, en la mayoría de los casos, a lo largo del tiempo; y 4) medibles de forma cuantitativa.

Entonces, ¿un dato biométrico es un dato personal sensible? De acuerdo con las definiciones revisadas anteriormente, todo depende de la información que esta pueda revelar y del uso que se le da.

Estoy seguro de que, si hoy hiciéramos una encuesta con la pregunta: La biometría es un dato personal sensible? la respuesta de la mayoría sería sí. Seguramente usted piense lo mismo, pero ha llegado a esta lectura probablemente en busca de argumentos para poder confirmarlo. Y es que resultara fácil llegar a esa conclusión con el simple hecho de escuchar y asociar los términos sensible, rasgos físicos, fisiológicos, técnicos, bio, salud. El propio INAI parte de esta sentencia Los datos biométricos, como regla general, se pueden considerar datos personales y, por esta razón, las empresas, organizaciones, profesionistas y autoridades tienen el deber de realizar el tratamiento de esta información bajo las condiciones que establece la normativa en esta materia.

Para poder determinarlo es necesario entender primero que existen diferentes tipos de datos biométricos; por otro lado, regresar a la definición de dato personal, la cual menciona que es el dato que hace identificable a la persona. Entonces surge una nueva pregunta: un dato biométrico hace identificable a una persona? No hay una respuesta absoluta para el dato biométrico generalizado, entonces se tendrá que revisar cada uno por sus propias características. Es as como podemos llegar a nuestra primera conclusión: Depender, en primera instancia, del tipo de dato biométrico del que estamos hablando.

Existen dos grandes grupos de datos biométricos: 1) los que se refieren a las características físicas y fisiológicas, es decir, aquellos con los que nacemos y que no podemos cambiar de forma natural, como pueden ser la huella digital, el rostro, los iris, la retina, la forma de la mano, el ADN, la geometría del árbol de venas (patrón vascular), entre otros, y 2) los que se refieren a nuestro comportamiento, es decir, patrones de conducta que aprendemos y que en cierta medida podemos modificar, como lo son: nuestra forma de escribir, la firma, el andar, la voz, la escritura en el teclado, etc.

Regresando a la pregunta ¿un dato biométrico hace identificable a una persona? Podemos tratar de dar respuesta por cada uno pensando únicamente en el rasgo biométrico, sin la asociación de ningún otro dato de la persona, entonces, la huella, por si sola, solo es una huella, si alguien ve la huella podrá determinar que tipo de huella es, incluso puede ser capaz de detectar algunas minucias, pero si no conocemos a que persona pertenece, o no la sometemos a un sistema de identificación o de verificación, no nos ser posible determinar de que persona se trata. La imagen de la huella por si misma no hace identificable a su titular.

Si hacemos la analogía con la siguiente biometría: el rostro, la perspectiva cambia radicalmente, porque la simple imagen del rostro si hace identificable a la persona, en caso de conocerla, es decir, no necesitamos ningún otro dato asociado, no necesitamos someterla a un sistema de identificación o de verificación, por el simple hecho de verla, puedo saber de quien se trata.

Entonces, bastan los dos primeros ejemplos para demostrar que cada una por sus propias características y su tratamiento nos determinar si se debe considerar un dato personal o no.

Y tratando de responder a la pregunta ¿se considera un dato personal sensible? debemos recurrir al mismo ejercicio: la huella como dato (piense en una imagen de valles y crestas en blanco y negro) por si sola ¿puede determinar si pertenece a un hombre o a una mujer?, ¿hace referencia a una etnia o raza?, ¿nos dice algo acerca de su estado de salud presente o futuro?, ¿podemos conocer su opinión política o preferencia sexual? La respuesta a todas estas preguntas es no, por lo tanto, la huella digital no debería considerarse un dato personal sensible.

Ahora, piense en estas mismas preguntas considerando el dato biométrico facial, es decir, la imagen de la fotografía del rostro que es capturada para muchos trámites. La respuesta a muchas de esas preguntas es. Por lo tanto, la biometría facial debería considerarse como un dato personal sensible.

En otro ejemplo, el dato biométrico del iris podría considerarse sensible en los casos en que permita obtener información sobre el estado de salud de su titular.

Por otro lado, hablábamos del tratamiento que se le pueda dar al dato biométrico, y es que en la mayoría de las situaciones en donde se solicita un dato biométrico, también se solicitan otros datos personales, como el nombre, y además se someten a procesos de identificación o verificación, es decir, a través de estos sistemas biométricos se está haciendo identificable a su titular.

Por tal motivo debemos pensar que, en donde exista asociación de los datos y/o se sometan a procesos de identificación, sin importar el tipo de dato biométrico en referencia, se deber considerar un dato personal.

El objeto del sistema biométrico es reconocer a las personas, es decir, volver a conocer a una persona que ha sido previamente identificada y registrada, dicho reconocimiento implica comparar, ya sea de manera manual, o bien automatizada, una muestra biométrica de una persona con plantillas previamente registradas y relacionadas con una identidad especifica.

En conclusión, se puede advertir que, si bien existen datos biométricos que por si mismos identifican a una persona, por ejemplo, el rostro de una persona conocida; la mayoría de ellos requiere de un procesamiento o información adicional para que sea posible reconocer a su titular. Tal es el caso de la huella digital, que por si sola y de manera aislada no identifica a su titular, pero cuando ingresa a un sistema en el que se vincula a un individuo en lo particular y después se pueden comparar nuevas muestras con la plantilla previamente registrada, se vuelve dato personal, al hacer identificable a su titular.

Un dato biométrico aislado, que no pueda ser registrado en un sistema biométrico, ni se pueda vincular con un sujeto en lo particular o comparar con otras muestras, no podría considerarse un dato personal.

Un dato biométrico ser dato personal cuando de manera directa identifique a su titular, o bien, lo haga identificable a través de la biometría, pues sin la aplicación de este método serían desproporcionales los esfuerzos que se requerirían para reconocer a la persona.

Te invitamos a asesorarte con el Instituto Nacional de Acceso a la Información (INAI) para obtener ms información acerca del tratamiento de datos biométricos. En Latin ID nos resulta de suma importancia la implementación de sistemas confiables con lo último en tecnología de seguridad informática pero sobre todo operar en el marco de la Ley, estar al tanto de las regulaciones y mejores prácticas aplicables en materia de protección de datos personales porque sabemos que además de ser proveedores de tecnología y ser especialistas en el procesamiento de información biométrica, debemos estar conscientes de la responsabilidad de tratar con datos personales.