La biometría y su legalidad David Vernet, Xavier Canaleta Enginyeria i Arquitectura La Salle Universitat Ramon Llull Barcelona e-mail: dave@salleURL.edu, xavic@salleURL.edu Resumen De un tiempo a esta parte surgen constantemente sistemas de identificación y control mediante medidas biométricas. La sociedad demanda, cada vez más, sistemas informáticos que sean capaces de detectar intrusos y autentificar a los usuarios mediante huellas dactilares, reconocimiento de patrones en las manos, identificaciones de retina o de iris, etc. En el presente artículo nos cuestionamos la legalidad del uso por parte de las empresas de los datos referidos a sus trabajadores. Según la Ley Orgánica de Protección de Datos (LOPD) los datos de salud se consideran datos de nivel alto en cuanto a protección, por lo que es muy discutible si se pueden usar datos biométricos como elementos que permitan el control de los usuarios en la empresa o sociedad en la que trabajan, ya que éstos podrían usarse para inferir o deducir datos de salud de las personas. También el artículo 18.4 del Consejo Europeo ya decía que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Por otra parte, nuestro artículo presenta una serie de resultados reales pronosticados de forma automática mediante técnicas de inteligencia artificial. Estos resultados demuestran notoriamente cómo puede ser de fácil extraer información por parte del usuario, sin que éste conozca tal situación. El presente trabajo lo dividimos fundamentalmente en tres partes. En primer lugar haremos una amplia introducción a las técnicas de biometría existentes en el mercado. A continuación mostraremos una serie de resultados que hemos obtenido de nuestro banco de pruebas, para acabar discutiendo la legalidad de estos sistemas y las leyes que infringen. 1. Introducción A continuación se procederá a una descripción de lo que se entiende por sistema biométrico y se presentarán los tipos de sistemas más utilizados para tal fin. No es nuestra intención ser exhaustivos, pues sistemas biométricos existen de gran variedad, pero sí que citaremos y comentaremos aquellos sistemas que creemos existen en muchas empresas o sociedades. 2 1.1. Los sistemas biométricos Con la evolución de las tecnologías asociadas a la información, las tareas que tradicionalmente las hacían los seres humanos son, gracias a las mejoras tecnológicas, realizadas mediante sistemas automatizados. Dentro de la amplia gama de posibles actividades que pueden automatizarse, la relacionada con la capacidad para establecer la identidad de los individuos, es de las que ha tomado más importancia y, como consecuencia directa, la biometría se ha transformado en un área emergente. La biometría es la ciencia que se dedica a la identificación de los individuos a partir de una característica anatómica o una característica de su comportamiento. Una característica anatómica tiene la cualidad de ser relativamente estable al paso del tiempo, como por ejemplo una huella dactilar, la silueta de la mano o patrones de la retina o el iris ocular. En cambio, una característica de comportamiento es menos estable pues depende de la disposición psicológica de la persona. La firma podría ser una característica de este tipo. No cualquier característica anatómica puede ser utilizada con éxito por un sistema biométrico. En general, para que una característica pueda ser considerada como válida debe considerar los siguientes aspectos: • Universalidad: Que cualquier persona del mundo posea esta característica. • Unicidad: Que la probabilidad que dos personas tengan esta característica idéntica sea muy pequeña. • Permanencia: Que la característica perdure en el tiempo. • Cuantificación: Que la característica pueda ser medida de forma cuantitativa. Estos requerimientos sirven como criterio para descartar o aprobar una característica como indicador biométrico. Una vez concretada la característica debe existir un sistema biométrico capaz de reconocer esta característica con los siguientes requisitos: 1. Que el sistema posea una exactitud y rapidez correctos y a su vez los recursos usados por éste sean aceptables. 2. Que el sistema sea aceptado y tenga la confianza de los usuarios. 3. Que el sistema sea fiable y seguro contra fraudes. 1.2. Tipos de sistemas biométricos existentes En la actualidad existen sistemas biométricos que basan su acción en el reconocimiento de diferentes características como pueden ser el rostro, las huellas dactilares, la geometría o las venas de la mano, los patrones de iris o de retina, la voz, la firma, etc. Vamos a comentar rápidamente las características de los más comunes para poder inferir posteriormente el impacto de éstas contra la privacidad de la persona. a) Verificación de escritura: Este sistema estudia las características de la escritura del individuo, por ejemplo su firma. De esta manera, basándose en ciertos aspectos dinámicos como pueden ser la presión del lápiz en el papel, el ángulo en que se realizan los trazos, el tiempo necesario para realizar la firma, etc, el sistema es capaz de autentificar a la persona. El gran problema de este sistema son los usuarios que V Jornadas de Informática y Sociedad (JIS 2004) 3 poseen firmas cambiantes o no uniformes. Debido a este problema, este sistema acostumbra a pedir varios intentos de autentificación, con lo que pasa a ser detestado por los usuarios del mismo. b) Verificación de huellas dactilares: La huella dactilar siempre ha sido reconocido como uno de los mejores patrones para la identificación de un individuo, ya que está aceptado y demostrado que no existen dos dedos con huellas dactilares idénticas. Para autentificarse, un usuario debe poner el dedo en un lector, el cual capta una imagen para que el ordenador extraiga los puntos característicos y los compare con los de su base de datos. Uno de los problemas de este sistema es que es sensible a las heridas en los dedos, la presión y la posición de los mismos, cosa que puede llevar a un fracaso del sistema. c) Verificación de patrones en la mano: En este sistema, el usuario pone la mano en unas guías que marcan la posición que ésta debe adoptar para que la lectura sea correcta. Se toman imágenes de la mano y, de ellas, se extraen, mediante un modelo matemático, los datos necesarios para poder compararlos con los patrones almacenados. Estos sistemas, aparte de ser uno de los más rápidos, tienen la capacidad de aprender, de manera que a medida que un usuario se autentifica a lo largo de los años, el sistema aprende cuáles son los cambios que va experimentando la geometría de la mano. Por eso tiene una alta aceptación entre los usuarios, aunque pueda a veces confundir dos manos suficientemente parecidas. d) Verificación de la voz: La verificación de la voz trata de identificar ciertas características de la voz de cada usuario. Para un funcionamiento óptimo del sistema se requiere de una sala especial, sin ecos, ruidos externos y con una buena acústica. De esta manera las interferencias externas se reducen al máximo. Existen dos modelos para estos sistemas. Uno es el de texto dependiente, en el cual el sistema tiene almacenado un conjunto de frases o palabras que puede utilizar cada usuario para autentificarse. En el otro modelo, el de texto independiente, el sistema pide al usuario que diga frases o palabras y, según la información extraída, el sistema decide si el usuario es quien dice ser. Este sistema puede fallar en caso de enfermedad que afecte a la voz del usuario, o, simplemente, si existe un cambio de ánimo en éste. e) Verificación de patrones oculares: Los métodos de autentificación basados en patrones oculares (se incluyen retina e iris), son los más efectivos, pues es difícil encontrar dos personas con idénticas características. A pesar de esto, en general, tienen mala aceptación, pues el usuario debe permitir que un escáner lea de cerca las características del ojo, y el mismi usuario puede divisar peligro físico . Otro motivo, y del que hablaremos posteriormente, es que el estudio del ojo puede descubrir información privada, como el consumo de drogas, alcohol o el padecer alguna enfermedad. Por otra parte, cabe decir que es un sistema caro. En los análisis de retina se utiliza la información contenida en la vasculatura retinal, es decir la forma que tienen los vasos sanguíneos de la retina, y es una característica diferente para cada individuo. En cambio, en los análisis de iris, el proceso es más complejo ya que la forma de éste puede cambiar en función de la iluminación de la sala. Tiene de aspecto positivo que es una característica que perdura y no cambia a lo largo de la vida de una persona. 4 2. Experimentación propia y discusión Queremos mostrar en este apartado como puede llegar a ser de fácil diseñar sistemas capaces de reconocer algunas características de la persona. De esta manera podremos concluir que si diseñar un sistema de este tipo es fácil, también es asequible generar una buena imitación del mismo. Por otro lado, existe el peligro de la aparición de sistemas intrusos que aprovechen la ocasión para adquirir datos privados del usuario. En este aspecto, son muchos los casos aparecidos y, a menudo, no se ha podido constatar hasta qué nivel de información ha sido adquirida por personas ajenas. 2.1. Sistema diseñado El sistema que presentamos [3] reconoce huellas dactilares. Ha sido diseñado usando la técnica de aprendizaje de Razonamiento Basado en Casos [2] y como mostramos seguidamente los resultados obtenidos muestran una elevada eficacia. Esta técnica fundamentalmente se basa en el concepto de analogía. La analogía es la técnica que usamos las personas para resolver infinidad de problemas. Cuando se nos presenta un problema por resolver nos planteamos si anteriormente hemos solucionado uno de parecido. Si es así, intentamos adaptar la solución que se dio en su día al problema antiguo para resolver el nuevo caso. En el caso de las huellas dactilares, cuando queremos clasificar una huella de una persona que quiere acceder al trabajo/recinto buscamos la huella más parecida en la llamada Memoria de Casos del sistema. Aquella más parecida debería coincidir con la de la persona, y así confirmaríamos su identidad. Los resultados en esta clase de clasificación se especifican usando la tasa de FAR (False Acceptance Rate), que se define como la frecuencia relativa con la cual un impostor es aceptado como un individuo autorizado y la tasa de FRR (False Rejection Rate) definida como la frecuencia relativa con la que un individuo autorizado es rechazado y se toma como impostor. Tipo de huella Tipo C Tipo D Tipo E Tipo R Tipo P Tipo M FAR (%) 0.35 0.3 0.25 0.4 0.15 0.2 Tabla 1. Resultados obtenidos en el recocimiento de huellas dactilares FRR (%) 0.95 0.9 0.95 0.9 0.85 0.95 V Jornadas de Informática y Sociedad (JIS 2004) 5 Como se puede comprobar en la tabla 1, en nuestro sistema ambas frecuencias están por debajo del 1% en todos los casos, lo cual, por ser un sistema bastante rudimentario y aproximado, no deja de ser una tasa de eficacia elevada. 2.2. Discusión Hemos observado como es relativamente fácil diseñar un sistema que sea capaz de rconocer de forma biométrica la identidad de un individuo. Por otro lado, debemos mencionar la precaución que conlleva el hecho de almacenar datos de esta índole en cualquier sistema. Cabe recordar que según la Ley Orgánica de Protección de Datos (LOPD) de fecha 14 de diciembre de 1999 [4] -ley que deroga a la antigua LORTAD- los datos de carácter físico, existentes en la mayoría de sistemas biométricos, suponen un nivel alto de protección de la información. En la tabla 2 podemos observar qué niveles existen, a qué datos se refiere cada nivel y qué medidas deben adoptarse en cada caso. NIVEL Básico Medio Alto TIPO DE DATOS • • • Nombre y apellidos Direcciones (física y electrónica) Teléfono (fijo y móvil) • • • • Información de Hacienda Pública Infracciones administrativas Infracciones penales Información financiera • • • • Ideología y creencias Religión Origen racial Salud • • • • • • • • • • • • • • • MEDIDAS A ADOPTAR Documento de Seguridad Registro de incidencias Identificación y autenticación de usuarios Control de acceso Gestión de soportes Copias de respaldo y recuperación Medidas de seguridad de nivel básico Creación del Responsable de Seguridad Auditoría bianual Medidas adicionales de autenticación Medidas adicionales de identificación Medidas de nivel básico y medio Seguridad en la distribución de soportes Registro de accesos Cifrado en las telecomunicaciones Tabla 1. Niveles de protección de datos y medidas de seguridad El primer aspecto importante que se debe tener en cuenta es que estos datos deben estar declarados en la Agencia de Protección de Datos (APD). Esta notificación puede hacerse por correo ordinario o también puede realizarse casi en su totalidad vía Internet a través de la página web https://www.agenciaprotecciondatos.org En segundo lugar deben establecerse una serie de medidas de nivel básico y medio entre las que destacan: a) Documento de seguridad: Debe redactarse un documento donde se detallen las normas a seguir por el personal que tenga acceso a los datos de los usuarios con el fin de garantizar la protección de los mismos. Este documento también debe contener la descripción de todos los procedimientos exigidos para las medidas de seguridad para el nivel básico. 6 b) Registro de incidencias: Debe existir un formulario que ha de cumplimentarse en el caso que se produzca alguna incidencia que afecte a los ficheros con información de los usuarios. c) Control de acceso: Se debe diferenciar claramente qué personal tiene acceso a la información física de los usuarios. d) Gestión de soportes: Los soportes que contengan la información privada deberán estar correctamente identificados, tienen que estar inventariados y almacenados en un lugar de acceso restringido al personal académico. En tercer lugar deben asegurarse los momentos en que hay una distribución, si los hubiere, de los diferentes soportes que contienen la información. Consiguientemente, esto acarrea llevar un registro de accesos y/o petición de la información. Si la información viaja por sistemas telemáticos se debe garantizar la confidencialidad de ésta mediante sistemas de cifrado. Por otro lado se debe asegurar que la información contenida en el sistema biométrico sólo se usará para el fin a la que ha sido destinada. 3. Conclusiones Hemos descrito los requisitos que legalmente se deben contemplar para que el uso del sistema biómetrico no sea punible. Pero, por otra parte, ¿és ético usar determinados datos con los usuarios/trabajadores para tal fin? Nos planteamos si no estamos viviendo momentos donde el hecho moral del uso de los datos no es asimilado con la suficiente importancia. Por otro lado se constata, mediante encuestas anónimas, que últimamente son muchas las empresas que infringen las leyes básicas en cuanto a protección de datos. Las empresas deben estudiar y fomentar el respeto de las leyes de protección de datos, así como elaborar un plan de acción para situaciones de emergencia, aspecto de vital importancia y que manifiesta, llegado a este punto, las deficiencias en la privacidad de información confidencial. Referencias [1] Canaleta, X. y Vernet, D. Gestión académica y protección de datos. Actas de JENUI 2003, IX Jornadas de Enseñanza Universitaria de la Informática. Thomson Paraninfo SA, páginas 151-158. Cádiz, 2003. [2] Kolodner, J. Case-Based Reasoning. Morgan Kaufmann Publishers, Inc., 1993. [3] Tapias, C. Sistema d’identificació d’empremtes dactilars, Treball Final de Carrera, Enginyeria i Arquitectura La Salle, 2002. [4] “Ley Orgánica 15/1999, de 13 de diciembre”, BOE nº 298, 14 de diciembre de 1999.