*[Aplicaci. Dispositivos Externos ] Introducción

Transcripción

1 *[Aplicaci Aplicación de la Biometría y Dispositivos Externos ] ESTANDARIZACIÓN N Y ADECUACIÓN N A LA NORMATIVA EUROPEA David Imizcoz Etxeberria Donostia 21 Marzo 2007 Introducción El explorador Joao de Barros atestiguo la existencia de la biometría en China en el siglo XIV. La biometría es en si misma la forma más antigua de identificación. La biométrica es el estudio de métodos automáticos para el reconocimiento único de humanos basados en uno o más rasgos conductuales o físicos intrínsecos. El término se deriva de las palabras griegas "bios" de vida y "metron" de medida. La "Biométrica Informática" es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para verificar identidades o para identificar individuos clasificada en tres grandes categorías: - Análisis Morfológico (huella, iris) - Trazas Biológicas (ADN) - Análisis de Comportamientos (firma) 1

2 Asegurar la privacidad de las personas maximizar la aceptabilidad de los sistemas biométricos: Los datos biométricos están asociados unívocamente a una persona pero de su análisis no se pueden deducir características psicológicas ni genéticas de esta persona. Su estudio no puede generar ningún tipo de discriminación por motivos psicológicos ni genéticos, por lo que no es necesario el consentimiento de la persona para poder procesarlas. Se puede equiparar al DNI, que también es propio de cada uno pero no dice nada de la persona. AEPD datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de estos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Según el artículo 3 a) de la LOPD, define los datos de carácter personal como " cualquier información concerniente a personas físicas identificadas o identificables". Asegurar la privacidad de las personas maximizar la aceptabilidad de los sistemas biométricos La captación, tratamiento, uso y destino final de los datos biométricos deben de realizarse en respeto a las exigencias de protección de datos, y en particular de sus principios básicos: 1. Licitud 2. Buena Fe 3. Finalidad 4. Proporcionalidad 5. Seguridad 6. Derechos de las personas Principio de Calidad Deber de Secreto y Guarda Derecho de Información Principio de Calidad Medidas de Seguridad Ejercicio dchos.. ARCO 2

3 Asegurar la privacidad de las personas maximizar la aceptabilidad de los sistemas biométricos Desafíos ligados a los derechos y libertades fundamentales 1. No se trata solamente de un simple medio de identificación; podría poner en peligro el sentido de la libertad individual, las posibilidades de utilizar varias identidades y favorecer la vigilancia o el control social. 2. El ataque a la vida privada no proviene de la identificación positiva asegurada por la biometría, sino de la capacidad de terceras partes de tener acceso a esa información de una forma identificable.. 3. Permite reunir datos personales procedentes de fuentes diferentes y realizar un perfil de la persona sin su conocimiento. BIOMETRIA VS INTIMIDAD DIGNIDAD HUMANA PROTECCIÓN N DE DATOS Precauciones a mantener en materia de protección n de datos para la utilización n de datos biométricos Art. 2. a) Convención n del Consejo de Europa datos de carácter personal concerniestes a personas físicas identificadas o identificables. Art. 2.a) Dir 95/46/CE se tiene por identificable cuando puede ser identificada, directa o indirectamente, como referencia a un número de identificación o a uno o varios elementos específicos, propios de su identidad física, fisiológica, psíquica, económica, cultural o social. No se podrá hablar de identificabilidad si está necesita de retrasos y actividades irracionales Convención para la protección de las personas respecto al proceso automatizado de los datos de carácter personal (STE No 108, en adelante la Convención 108) Convenio relativo a la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo, la delincuencia transfronteriza y la migración ilegal, hecho en Prüm el 27 de mayo de 2005 Dictamen sobre la aplicación del Reglamento (CE) n 2252/2004 del Consejo, de 13 de diciembre de 2004, sobre normas para las medidas de seguridad y datos biométricos en los pasaportes y documentos de viaje expedidos por los Estados miembros. Dir 2004/82/CE DEL CONSEJO de 29 de abril de 2004 sobre la obligación de los transportistas de comunicar los datos de las personas transportadas 3

4 Precauciones a mantener en materia de protección n de datos para la utilización n de datos biométricos Recogida lícital cita: captación de los datos con el consentimiento (libre, especifico e informado) de las personas afectadas, especialmente para la utilización de la biometría con fines comerciales. La utilización de la biometría debe permanecer voluntaria. Principio de transparencia: recogida conforme al principio de buena fe, en conocimiento de la finalidad, el riesgo del abuso será tanto menos elevado cuanto que el responsable del tratamiento renuncie a recoger datos adicionales a los necesarios. Respeto al principio de finalidad: claramente definida y respetada. Precauciones a mantener en materia de protección n de datos para la utilización n de datos biométricos Respeto al principio de proporcionalidad: unos de los principios más importante de la protección de datos en el contexto de la biometría. No debe de haber recogida de datos más que si estos son necesarios (adecuados, pertinentes y no excesivos) con vistas a la finalidad para la que deberían ser recogidos. Contempla tres restricciones: Regla de Aptitud, que el medio escogido sea se útil para alcanzar el objetivo. Regla de Necesidad, entre varios medios escoger el menos intrusivo. Regla de Proporcionalidad, equilibrar los efectos de la medida. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos de Videovigilancia Para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad 4

5 Precauciones a mantener en materia de protección n de datos para la utilización n de datos biométricos Se deberá renunciar a su recogida y utilización si la identificación o la autenticación de las personas en el marco buscado puede realizarse con la misma eficacia, seguridad y efectividad por otro sistema. Seguridad de los datos: las medidas de seguridad deben de tomarse desde la recogida de los datos, durante la fase de inscripción. La huella biométrica debe de ser una representación matemática registrada de forma cifrada. - Almacenamiento Cifrado. - Control de Acceso. - Gestión de Incidencias. - Copias de Seguridad y respaldo. Estudio de la normativa europea así como los criterios de homologación de los dispositivos Órgano asesor comunitario independiente sobre protección de datos en virtud del Art. 29 de la Dir. 95/46/CE Decisiones del Comité de trabajo del Art 29. Los datos biométricos guardan traza de las características de comportamiento y fisiológicas de una persona y pueden permitir identificarla sin ambigüedad 03_fr.htm Documento de trabajo sobre biometría 1/08/2003 Principales Problemas 1.- Fase de Inscripción de los datos brutos. 2.- Forma de Almacenamiento 3.- Captación de datos biométricos latentes Soluciones Propuestas A.- Almacenamiento únicamente de la Plantilla B.- Almacenamiento Descentralizado C.- Consentimiento Informado del Interesado Conclusiones Necesario respeto a los principios de la Dir. 95/46/CE Cumplimiento del principio de Proporcionalidad Promoción para la elaboración de Códigos de Conducta Binding Corporates Rules (BCR) 5

6 Estudio de la normativa europea así como los criterios de homologación de los dispositivos Francia, rechaza el uso de huellas dactilares para el acceso de los niños a un comedor escolar, por ser un medio desproporcionado a la finalidad perseguida. Gran Bretaña, en circunstancias similares acepta esta práctica siempre que se garanticen las medidas de seguridad. Portugal, impide el uso de dispositivos biométricos para controlar la asistencia de universitarios a las aulas, por excesivo y contrario a la finalidad para la que fueron recabados. Alemania, acepta la incorporación de datos biometrícos a los documentos de identidad, siempre que se almacenen en el propio documento y no en una base de datos. Grecia, se ha opuesto al uso de sistemas de identificación biometríca para el registro de pasajeros del aeropuerto de Atenas. Italia, considera desproporcionado la toma de huellas digitales para el acceso a un banco Recomendaciones para garantizar la protección de datos en la utilización de dispositivos biométricos. Solamente se recurrirá a la biometría a si no hay medios menos intrusivos para alcanzar el objetivo fijado. Respeto a la finalidad. Información clara, explicita e inequívoca a los afectados. Datos recogidos directamente de la persona afectada. Eliminación n de los datos originales una vez que el proceso de incorporación n al sistema se ha efectuado. Cifrado de los elementos contenidos en la base de datos. Verificación n periódica en lo relativo al grado de fiabilidad de los datos. Garantía de los derechos de los interesados. Someterse a procesos de Certificación y Auditoria (sistemas( y de protección n de datos) 6

7 Recomendaciones para garantizar la protección de datos en la utilización de dispositivos biométricos. Principios para una Auditoria de evaluación de un dispositivo biométrico: 1. Errores de Decisión. - Tasa falsas aceptaciones (FAR, FalseAcceptanceRate). - Tasa falsos rechazos (FRR, False Rejection Rate) 2. Errores de adquisición del rango biométrico. - Tasa de registros erróneos (FER, Failure to Enrol Rate) - Tasa de adquisiciones erróneas (Failure to Acquire Rate) tentativas 3. Arquitectura e identificación de elementos (aplicación) 4. Selección de voluntarios. 5. Errores de Recopilación. Fuente: Best Practices in Testing and Reporting Performance of Biometric Devices Recomendaciones para garantizar la protección de datos en la utilización de dispositivos biométricos. Proyecto BIOSIS /SHERPA (S21sec, Encriptalia, VICOMthech) Aspectos Organizativos 7

8 Recomendaciones para garantizar la protección de datos en la utilización de dispositivos biométricos. Pruebas TécnicasT cnicas: El futuro de la privacidad en el uso de la biometria. Un portavoz del Departamento de Seguridad Nacional de Estados Unidos ha informado que, a partir de verano de 2007, se comenzará a tomar huellas de los 10 dígitos en varios aeropuertos de ese país. Desde ese momento, quedarán almacenadas en los archivos de la Oficina de Investigación. Afectará a los países de la Unión Europea, Japón, Australia y Nueva Zelanda Sistemas de identificación biométrica de la terminal 3 de Heathrow El futuro, en la palma de la mano. Fujitsu estudia implantar este sistema de identificación, que no requiere contacto. Biometría para luchar contra la clonación de tarjetas Biometría tiende a convertirse en una alternativa viable de seguridad para móviles. Sociedad de la Información Sociedad Vigilada 8

9 *[Muchas gracias] T