La autenticación de nuestra identidad, a través de rasgos faciales y huellas dactilares, se ha convertido en parte de nuestras tareas cotidianas, hasta el punto, de que ella está presente en actividades que van desde el acceso a nuestros dispositivos personales hasta la realización de transacciones financieras.
Aunque la información biométrica nos facilita notablemente la vida, no está, sin embargo, exenta de riesgos toda vez que puede utilizarse para falsificar y suplantar a las personas (deepfakes), facilitar el robo de identidad, generar vídeos pornográficos con deepfakes no consentidos, entre otros. Estos
peligros han sido ilustrados en extenso por las abogadas Christine Chong y Christine Lyon de la Freshfields Bruchaus Deringer.
Ante lo anterior, autoridades como la Agencia de Protección de la Privacidad de California han propuesto que las empresas: i) se abstengan de recopilar datos biométricos, a menos que sea necesario verificar la identidad de una persona, como es el caso del uso de la huella para iniciar sesión en distintos portales o aplicaciones, ii) permitan a los consumidores limitar el uso publicitario de sus datos biométricos (CPPA, Enforcement Advisory No. 2024- 01)
En la actualidad EE.UU no cuenta con una ley federal única que regule la privacidad de los datos biométricos. Sin embargo, existen alrededor de 15 proyectos sobre el tema que se están tramitando en varios estados. Estas iniciativas no limitan la cobertura o alcance de los datos biométricos a las
características físicas y biológicas, de las personas (eg, huellas dactilares, o imágenes del iris y la retina) sino que, su definición va mucho más allá al incluir los patrones venosos, grabaciones de voz, patrones de pulsación de teclas, el procesamiento de la mirada, el seguimiento ocular, los movimientos de la mano, datos de sueño, salud o ejercicio y, en general, todo tipo de información característica de una persona que sirva para identificarla (Chong y Lyon). Es decir que los datos biométricos abarcan información que son la esencia de la intimidad de los ciudadanos
De hecho, la FTC prohibió a Rite Aid, una cadena de farmacias, usar tecnología de reconocimiento facial con fines de vigilancia por cinco años, debido al uso imprudente que hizo esa compañía de esos datos y que llevó a que sus sistemas de vigilancia señalaran erróneamente a sus consumidores,
confundiéndolos con sujetos que habían sido previamente identificados com ladrones (FTC, Press Release 2023).
En Colombia, el concepto de lo que debe entenderse por datos biométricos no se deriva de la ley (La Ley 1581 de 2012 no establece una definición expresa sobre el tema) sino de lo que ha expresado la Superintendencia de Industria y Comercio.
Según la SIC, esta información corresponde a datos personales sensibles que se tratan a través de tecnologías para identificar o autenticar a una persona, como es el caso de las imágenes y las huellas dactilares. Por esta razón, su almacenamiento y recolección requiere de la autorización explícita de su propietario (Concepto No. 18-171259 de 2018).
De ahí que es apremiante que la ley precise la naturaleza de estos datos y establezca mecanismos y obligaciones específicas muy estrictas para las empresas, en torno de su recopilación, manejo, almacenamiento y usos.
Lo anterior, si se tiene en cuenta que se trata de datos relativos a la salud y comportamiento de las personas, que ameritan una celosa y especial protección para evitar que se vulnere el derecho a la intimidad de los ciudadanos.