España | Identidad digital: nuevos propósitos para el año 2022

Carta al legislador sobre los métodos futuros de identificación.

España | Identidad digital: nuevos propósitos para el año 2022
23 de diciembre de 2021

Durante 2021, las tecnologías relacionadas con la video identificación o el uso de otros sistemas de autenticación de personas o comprobación de identidades por medios electrónicos han sido objeto de importantes progresos legislativos.

Por un lado, el 6 de mayo fue aprobada la Orden ETD/465/2021, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados que ya comentamos aquí. Otra novedad significativa fue la aprobación del borrador de Reglamento (UE) eIDAS 2, para la regulación de un nuevo paradigma de identidad digital europea, así como la publicación del estudio sobre la posible regulación del reconocimiento facial.

Efectivamente, el empleo de sistemas de identificación digital ha sido trending topic, (como cabía esperar, claro está, atendiendo al contexto de Covid-19 en que nos encontramos) y aunque su regulación es todavía parcial y embrionaria, su avance no se detiene, a pesar de las incertidumbres jurídicas que su uso plantea.

Precisamente una popular red social anunció hace unas semanas que implementaría la acción de requerir a sus usuarios una grabación de un video selfie con el objetivo de autenticarles cuando pretendan acceder a sus cuentas. También la Autoridad del Banco Europeo espera que el número de usuarios de reconocimiento facial basado en software para asegurar los pagos móviles crezca sustancialmente y supere los 1.400 millones a nivel mundial para 2025.

Desde un punto de vista legal, la utilización de sistemas de identificación electrónica es abordada por distintos textos normativos. No existe una regulación única dada la diversidad de casos de uso y las variadas tecnologías en que puede basarse. Por ello, cuando valoramos el empleo de estos sistemas lo primero que hay que determinar es si existen restricciones para su empleo y qué tipos de uso están permitidos.

Es importante igualmente tener clara la distinción entre “identificación biométrica” (comparación uno a varios) y “autenticación biométrica” (comparación uno a uno), tal y como ha sido clarificado por el Parlamento Europeo en su informe sobre la regulación del reconocimiento facial en la Unión. Distinción que también fue puesta de relieve por la Agencia Española de Protección de Datos (AEPD) en su informe de 2020.

Según la propuesta de Reglamento sobre la IA (comentada en el blog), ciertos sistemas de IA que impliquen la identificación biométrica o la videovigilancia masiva “en tiempo real” en espacios públicos con fines legales estarán prohibidos. Excepcionalmente, dichos sistemas estarán permitidos cuando su utilización sea estrictamente necesaria (búsqueda selectiva de menores desaparecidos, prevención de amenazas para la vida o seguridad física de las personas o atentados terroristas…).

Por su parte, la autenticación biométrica no plantea el mismo nivel de riesgo. Sin embargo, una de las principales cuestiones a considerar ante el uso de esta clase de tecnologías de autenticación es que el tratamiento de nuestra imagen facial a través de un vídeo puede suponer el tratamiento de datos personales especialmente protegidos. En este sentido, el empleo de datos personales que implique un tratamiento técnico específico y que se base en características físicas, fisiológicas o conductuales de una persona física (datos biométricos), podría entenderse incluido en el artículo 9 del Reglamento General de Protección de Datos (“RGPD”)

Sin perjuicio de que la AEPD establezca en su informe 0036/2020 que en la autenticación, los datos biométricos no se considerarán de categoría especial, también se recuerda la complejidad de la materia, que está sujeta a interpretación. Por lo tanto, no se pueden extraer conclusiones generales y deberá valorarse caso por caso en función de: (i) los datos tratados; (ii) las técnicas empleadas para su tratamiento; y (iii) la consiguiente injerencia en el derecho a la protección de datos.

El problema es que dichos tratamientos solo son posibles si concurren ciertas circunstancias concretas como, por ejemplo, la defensa de intereses vitales o evaluaciones con fines de medicina preventiva o laboral. Además, podría resultar necesario realizar un juicio de proporcionalidad atendiendo a la necesariedad, idoneidad y proporcionalidad de la implementación de estos sistemas, así como efectuar una evaluación de impacto. Dicho análisis deberá considerar el impacto en los derechos fundamentales de los sujetos afectados y la existencia de soluciones alternativas menos invasivas.

Pero no todos los sistemas de autenticación biométrica implican necesariamente el tratamiento de datos personales “biométricos” o especialmente protegidos y por tanto, están sujetos a estos deberes. De hecho, existe un debate sobre si los sistemas que meramente captan vectores faciales y que desarrollan una fórmula matemática para identificar el rostro emplean realmente factores biométricos. Otro ejemplo similar es el de los sistemas de trazado de mapas térmicos para detectar la presencia de personas, por ejemplo, en un concierto. ¿Son estos sistemas tecnologías de autenticación o identificación biométrica? ¿Se trata de datos de categorías especialmente protegidas?

Otro aspecto de riesgo jurídico debatido por el Parlamento Europeo es la posibilidad de volver a confiar en el empleo de sistemas de identificación vía imagen facial, tras haberse visto comprometido o vulnerado su empleo. Esta es una cuestión que no se plantea en el caso de sustracción o robo de contraseñas o códigos, dado que pueden modificarse o sustituirse fácilmente. No obstante, es posible que una persona que haya empleado reconocimiento facial para proteger sus objetos de valor no pueda volver a utilizar su rostro de manera segura si el sistema sufre una brecha de seguridad. El quid de la cuestión pasa por comprender que nuestros datos biométricos son únicos. Podremos adquirir un nuevo candado, pero no un nuevo rostro.

Todo parece indicar que el regulador tiene bien identificadas los problemas en torno al uso de estos sistemas de identificación electrónica. Esperemos que 2022 nos traiga nuevas propuestas legislativas que ofrezcan soluciones y mayor claridad a los aspectos comentados y que tecnologías tales como la identificación holográfica, puedan seguir sorprendiéndonos con nuevos avances en este campo. ¿Serán los hologramas la nueva apuesta para la identificación electrónica en 2022?

Autores: Josuan Eguiluz y Claudia Morgado

23 de diciembre de 2021