Sistemas biométricos en la autentificación dentro del marco del RGPD

FORLOPDagosto 11, 2025/inProtecciónDatos

los sistemas biométricos (que emplean características físicas o conductuales únicas como huellas dactilares, reconocimiento facial o patrones de voz) se han convertido en una herramienta clave para la autenticación y protección de datos.
No obstante, su uso plantea importantes implicaciones legales y éticas, especialmente dentro del marco del Reglamento General de Protección de Datos (UE) 2016/679, que los clasifica como categorías especiales de datos debido a su alta sensibilidad.

¿En qué consisten los datos biométricos?

Un sistema biométrico es un conjunto de métodos y tecnologías que permite verificar o identificar la identidad de una persona basándose en:

Biometría fisiológica: huellas dactilares, iris, retina, geometría de la mano, ADN.
Biometría conductual: patrones de voz, dinámica de tecleo, firma manuscrita, forma de caminar.

Su ventaja principal frente a contraseñas o tokens físicos es que los rasgos biométricos son únicos y, en principio, no pueden ser olvidados ni robados de la misma manera que una clave. Sin embargo, esta misma característica hace que su filtración sea irreparable: una contraseña se cambia, pero una huella digital no.

El RGPD considera los datos biométricos como datos personales de categoría especial (art. 9), ya que permiten la identificación unívoca de una persona. Esto implica requisitos más estrictos para su tratamiento:

Base legal y consentimiento explícito

El tratamiento de datos biométricos para identificación requiere el consentimiento explícito del interesado y que concurra otra base legal específica prevista en el art. 9.2. del Reglamento General de Protección de Datos.

Finalidad determinada y minimización

Deben recogerse solo para fines legítimos, específicos y no utilizarse para otros propósitos.

Evaluación de impacto (EIPD)

Obligatoria antes de implantar sistemas biométricos, para identificar y mitigar riesgos para los derechos y libertades.

Seguridad del tratamiento

Implementación de medidas técnicas y organizativas avanzadas, como cifrado fuerte, almacenamiento seguro y anonimización/pseudonimización cuando sea posible.

Derechos del interesado

Acceso, rectificación, supresión, limitación del tratamiento y oposición, así como el derecho a no ser objeto de decisiones automatizadas sin intervención humana.

Retos técnicos y jurídicos

Irreversibilidad y riesgo de filtraciones: un hackeo de datos biométricos tiene consecuencias permanentes.

Spoofing y ataques de suplantación: uso de fotos, vídeos o moldes falsos para engañar al sistema.

Equilibrio entre usabilidad y seguridad: garantizar una experiencia de usuario fluida sin comprometer la protección.

Transferencias internacionales: el RGPD impone condiciones estrictas para enviar datos biométricos fuera del EEE.

Buenas prácticas para el cumplimiento

Diseño orientado a la privacidad: integrar medidas de seguridad desde la concepción del sistema.

Almacenamiento local y cifrado: guardar plantillas biométricas en dispositivos del usuario y cifrarlas cuando sea posible.

Segmentación de datos: separar la base de datos biométrica del resto de datos personales.

Auditorías periódicas: revisar la eficacia de las medidas de seguridad y el cumplimiento legal.

Formación y concienciación: formar a empleados y usuarios sobre los riesgos y derechos.

En Forlopd trabajamos para mejorar la privacidad de la información en empresas de diferente índole y tamaño, así como ayudando a profesionales a adaptar sus procesos a las exigencias normativas en materia de protección de datos. Si necesitas saber si tu entidad cumple con estas exigencias, puedes solicitarnos un análisis de cumplimiento gratuito.