La red social antes conocida como Twitter y Worldcoin apuestan claramente por la biometría. El objetivo es nuevo, las formas y las consecuencias son harto conocidas. Sobre la capa de un servicio aparentemente necesario e incluso benigno se desata una carrera por el posicionamiento en un mercado emergente. No es nada nuevo, es la monetización de su privacidad para la prestación de servicios de valor añadido. La pregunta obligatoria es obvia ¿volverán a llegar tarde las políticas de la Unión Europea y sus autoridades de protección de datos?

Al usuario, como lúcidamente señalase Evgeny Morozov se le presentarán estas iniciativas desde una benignidad rayana en el estado social. Para su rápida implantación se manejan dos argumentos de fácil digestión por la población. El primero, y más obvio, es el de la seguridad. El uso de su huella dactilar, o el reconocimiento facial, son instrumentos sencillos de implementar, prácticos y directos y, de hecho, ya hace un tiempo que se vienen usando en procesos de contratación online en banca electrónica o comunicaciones. El paso siguiente es lógico: su generalización. 

Desde el sentido común nadie podría resistirse a tener una cuenta verificada. ¿Quién no estaría de acuerdo con disponer de un instrumento que evite las cuentas fake y permita identificar y perseguir a los haters? Por otra parte, y complementariamente, el esfuerzo de Worldcoin se presenta incluso con un perfil humanitario. Se trata de proporcionar un estándar de confianza que dote de seguridad al mundo de internet.

[Recibe los análisis de más actualidad en tu correo electrónico o en tu teléfono a través de nuestro canal de Telegram]

En esta ecuación es imprescindible incluir un elemento subjetivo crucial: la comodidad. Todas las personas odiamos las validaciones mediante usuario y contraseña o PIN. Nos obliga a ser memoriones o disponer de algún método. Hay quienes hacen rotar tres contraseñas, otros usan métodos basados en elementos del entorno de registro, combinaciones estandarizadas de sílabas que posean un sentido para el usuario, la lista de los reyes godos… Pero al final, incluso para los más exigentes la tolerancia al propio error tiene un límite. Detestamos los tres intentos, odiamos haber olvidado nuestra contraseña. Además, el común de los mortales se limita a usar la misma cuenta de correo y la misma contraseña en todas partes y esto implica un riesgo para la seguridad. Nuestras lectoras y lectores pueden conectarse con “Have I been pwned?” y verificar si su cuenta de correo y su contraseña han sido comprometidas. Seguramente pasen un mal rato si tuvieron la ocurrencia de usar el correo electrónico y la contraseña de su puesto de trabajo. 

Puesto que el riesgo de que esto haya sucedido es muy alto se han adoptado políticas adicionales. Ello obliga a buscar sistemas de doble validación que se proyecta por ejemplo sobre algo que se es, algo que se tiene o algo que se sabe. Esto implica que tras el primer acceso hay que usar una firma electrónica, recibir un PIN en el móvil etc. Para poder hacer estas políticas efectivas se ha impuesto a trabajadores y funcionarios el recurso de medios propios que bordean la legalidad como un número de línea móvil privado. 

Por último, es evidente el bajo nivel de implantación de los procedimientos de firma electrónica. En este contexto “la comodidad es la clave”. Esto ya lo descubrieron Google y Facebook. De ahí que hayan operado de modo informal como terceros de confianza en procesos de acceso y registro. La biometría es el siguiente paso y como toda tecnología no está exenta de riesgos. Una baja calidad en la programación puede generar errores y la máquina no tiene por qué saber que frente a ti hay un amable señor con una pistola. Sin embargo, se trata de un procedimiento mínimamente robusto, sencillo y cómodo para el usuario que de modo natural debería implantarse como el procedimiento más común.

Llegados a este punto no podemos olvidar las lecciones aprendidas. Probablemente hay mucho dinero en juego y una carrera por convertirse en operadores dominantes de mercado. Nadie da duros a cuatro pesetas decía mi abuela. Si una compañía nos ofrece seguridad “gratis”, y por su bien, o incluso paga por procesar nuestra imagen, deberíamos ser muy exigentes en la verificación de sus intenciones. Y esta diligencia es necesaria incluso cuando el modelo efectivamente sea altruista y responda a la más estricta legalidad. Y este deber de diligencia y comprobación les exigible de oficio a las autoridades que velan por nuestros derechos en el ámbito de la competencia, el consumo y la protección de datos. Desde un enfoque de riesgo hay muchas razones que apuntan esta necesidad.

La primera de ellas tiene que ver con la definición de marcos de referencia europeos en la prestación de servicios vinculados a la adveración electrónica de la identidad. La normativa aplicable, que ha ido evolucionando en el último decenio, incorpora desde el inicio un valor constante. El sistema requiere de entidades que operen en el mercado como terceros de confianza. Ello implica una inversión considerable en términos de robustez en el diseño de aplicaciones, en seguridad y en protección de datos. Las lecciones aprendidas demuestran que la aparición de una tecnología o un modelo de negocio disruptivo acaban con mercados enteros. Por ello, el despliegue de nuevos modelos de negocio en este sector debería sujetarse a las reglas. No debería engañarnos una vez más el argumento excelentemente rentabilizado de la innovación en ausencia de reglas y la benignidad rayana en el regalo.

Existe una segunda y conocida dimensión. ¿A qué jurisdicción se encuentran sometidas las compañías que ofrecen estas compañías? Aunque espero que sea un vaticinio equivocado vamos con paso firme camino de Schrems III, por el abogado no va a quedar. El Tribunal de Justicia de la Unión Europea ha puesto reiteradamente en cuestión la garantía de nuestro derecho fundamental a la protección de datos en Estados Unidos. Huyamos en esto de hipocresías. La lista de países cuestionables sería más bien larga. Sencillamente no se ha sustanciado controversia alguna. 



Desde un enfoque de riesgo deberíamos plantearnos cuáles serán las implicaciones si una empresa maneja millones de identificadores biométricos bajo normas como la Ley FISA o Cloud Act. Es fundamental subrayar un elemento adicional. La identificación se produce en un contexto. Se realiza desde un terminal que puede geolocalizarse, ser vinculado por identificadores complementarios como números IP, MAC, SIM o IMEI. Además, puede correlacionarse con cookies, fingerprints o trazabilidad de la sesión en un servicio. Desde el punto de vista de la seguridad y la inteligencia nacionales no parece que sea un recurso desdeñable.

Finalmente, los datos biométricos integran categorías especiales de datos. Sin entrar en la distinción entre biometría de alto o bajo nivel existe un elemento indiscutible. Se utiliza un elemento físicamente ligado a una persona humana para una finalidad determinada. Nadie se siente cómodo cuando en una comisaría un amable funcionario nos ayuda a la toma de huellas dactilares. Pero en internet la cuestión es otra. No hay uniformes, no existe una coerción evidente, se trata de algo amable y hay alguien dispuesto incluso a pagar. Precisamente por ello el Reglamento General de Protección de Datos incorpora garantías muy precisas. El análisis de riesgos para los derechos y la evaluación de impacto relativa a la protección de datos son las más conocida. Antes de ofrecer un servicio como el que nos ocupa el responsable del tratamiento debe ineludiblemente asegurarse de analizar los riesgo e impactos de la tecnología.

Desde este último punto de vista surgen preguntas esenciales. Con independencia de que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales permita el tratamiento de datos biométricos con consentimiento, hay que plantearse otras cosas. Cuando el Comité Europeo de Protección de Datos analiza las repercusiones del uso del reconocimiento facial con fines de “enforcement” detalla ciertos procedimientos que deberíamos tener en cuenta. En primer lugar, debería contemplarse el ordenamiento jurídico en su conjunto. Tratar datos biométricos sencillamente porque el usuario ha consentido resulta muy pobre desde el punto de vista jurídico. No olvidemos que los mercados disruptivos anteriores se caracterizaron por los escenarios monopolistas y la asimetría en la posición del usuario. Por otra parte, y como se ha señalado, si el objetivo es ofrecer servicios en el mercado como tercero de confianza el consentimiento por sí mismo sería un fundamento insuficiente.

Por otra parte, resulta imprescindible desplegar un juicio de proporcionalidad que comienza por una exigencia de predeterminación normativa. Y, estando en juego derechos fundamentales, afirmar que la ausencia de ley habilita para el tratamiento resulta cuanto menos dudoso. Por otra parte, recuérdese que la medida debería ser adecuada al fin, la menos invasiva de entre todas las posibles y superar el juicio de interés público. Revisar si esta tarea se ha emprendido parece más que suficiente para justificar una auditoría de oficio de las autoridades de protección de datos. Y, es probable que se superen todos los juicios. Y aún así habrá que preguntarse sobre el proceso y sobre las implicaciones cuando la tecnología se integre en entornos de inteligencia artificial a las que la última versión de la AI Act presta una atención significativa. 

Las lecciones aprendidas en el mundo de las redes sociales deberían aplicarse aquí. No podemos demonizar la innovación ni limitarla artificialmente. Pero tampoco podemos esperar al primer incumplimiento. No hacer nada conduce a resultados muy conocidos. Cuando el juez o la autoridad no actúa mercados enteros pueden ser arrasados. El emprendedor disruptivo ocupa una posición de dominio y acumula recursos sobrados para hacer frente a cualquier tipo de responsabilidad y, finalmente, cuando entra en la senda del cumplimiento lo hace en un territorio sin competencia. Por otro lado, la acción reactiva conduce a imponer barreras regulatorias que impiden con posterioridad que las empresas europeas puedan nacer y competir. ¿Volveremos a cometer los mismos errores?