14 equívocs de l’autenticació i la identificació biomètriques

367.- baixaEl Supervisor Europeu de Protecció de Dades –EDPS–, juntament amb l’Agència Espanyola de Protecció de Dades – AEPD–, ha publicat fa unes setmanes una nota tècnica amb una llista de 14 equívocs relacionats amb l’ús de la biometria i com aquests afecten la protecció de dades.

L’informe, adreçat a responsables i encarregats de protecció de dades, té com a objectiu oferir informació sobre les confusions i imprecisions més comunes que s’associen a l’ús d’aquesta tecnologia.

La identificació és el procés de reconèixer un individu particular entre un grup i l’autenticació és el procés de provar que és certa la identitat reclamada per un individu. Amb la creixent popularització de l’ús de dades biomètriques per a finalitats d’identificació i autenticació –per exemple, empremtes dactilars o reconeixement facial– s’han estès un seguit d’equívocs. Entre els equívocs més habituals relacionats amb la biometria trobem:

  • La informació biomètrica s’emmagatzema en un algoritme”. Un algoritme és un mètode ordenat d’operacions i no un mitjà per emmagatzemar dades biomètriques.
  • L’ús de dades biomètriques és igual d’intrusiu que qualsevol altre sistema d’identificació/autenticació”. Les dades biomètriques recullen més informació personal sobre l’individu. Per exemple, podrien recollir dades com la raça, el gènere, l’estat emocional, les malalties, les discapacitats, etc.
  • La identificació biomètrica és precisa”. La identificació biomètrica es basa en probabilitats i hi ha una determinada taxa de falsos positius –es podria produir una suplantació– i falsos negatius –refús d’un individu autoritzat.
  • La identificació/autenticació biomètrica és prou precisa com per diferenciar sempre entre dues persones”. Hi ha casos com el de la identificació de germans bessons o amb les condicions mediambientals en entorns no controlats que provoquen un augment de la taxa d’error i per tant porten a confusió.
  • La identificació/autenticació biomètrica és adequada per a totes les persones”. Hi ha persones que no la poden usar per les seves característiques físiques, lesions, accidents, etc. Podria ser una causa d’exclusió social.
  • El procés d’identificació/autenticació biomètrica no es pot burlar”. Hi ha tècniques que permeten “enganyar” els sistemes d’autenticació biomètrica i assumir la identitat d’una altra persona.
  • La identificació biomètrica no està exposada”. Les característiques biomètriques d’una persona estan exposades i es podrien capturar a distància.
  • Tot tractament biomètric implica identificació/autenticació”. No necessàriament és així. Es podria produir un ús de la informació diferent del propòsit original per errors de seguretat, canvis normatius, etc.
  • Els sistemes d’identificació/autenticació són més segurs per als usuaris”. Hi pot haver igualment una esquerda de seguretat.
  • L’autenticació biomètrica és forta”. Aquesta afirmació dependrà de la tecnologia emprada i de les circumstàncies, percepció i cultura de cada usuari.
  • L’autenticació biomètrica és més còmoda per a l’usuari”. Aquesta afirmació dependrà de la tecnologia emprada.
  • La informació biomètrica convertida en un hash no és recuperable”. Es podria aconseguir en patró biomètric original.
  • La informació biomètrica emmagatzemada no permet reconstruir la informació biomètrica original d’on s’ha extret”. Una reconstrucció parcial té de vegades fidelitat suficient perquè un altre sistema biomètric la reconegui.
  • “La informació biomètrica no és interoperable”. És al contrari, els sistemes d’informació biomètrica segueixen estàndards per garantir la seva interoperabilitat.

_____

Esta entrada en español / This post in English / Post en français

Leave a Reply