La recopilación de datos biométricos exige el escrutinio de …



Un abogado de TI investiga las implicaciones de la recopilación de datos biométricos, por qué no pueden ser anonimizados y qué están haciendo las naciones al respecto.

La seguridad depende cada vez más de nuestros datos biométricos para fines de autenticación y seguridad nacional. Los consumidores están dispuestos a entregar sus escaneos faciales, huellas dactilares y otros datos inmutables sin comprender las posibles consecuencias o la legislación sobre privacidad.

La privacidad ha sido objeto de una dura atención en los últimos años. Considere FaceApp, la aplicación de efectos especiales fotográficos que apareció en los titulares el verano pasado cuando se le acusó de subir las imágenes de los usuarios a la nube y transferirlas a Rusia. Si bien la evidencia no respaldaba la afirmación, fue suficiente para que muchas personas se preocuparan por cómo las organizaciones usan sus datos personales.

«Una de las cosas que ha sido tan genial acerca de la tecnología no es solo la conveniencia, sino que realmente hemos comenzado a mirar la privacidad, y la privacidad está pasando a un primer plano», dijo Melissa Wingard, asesora especial del bufete de abogados Phillips Ormonde Fitzpatrick. , en una charla virtual de Black Hat Asia.

La sociedad moderna estaba en transición hacia la tecnología sin contacto y las vías sin contacto antes de la pandemia del coronavirus. Ahora, COVID-19 ha aumentado la necesidad de navegar la vida cotidiana con menos contacto. Estamos buscando nuevas formas de acceder a nuestras oficinas sin tocar los ascensores, señaló, y pagar las cosas sin pasar tarjetas de crédito.

Wingard, que se especializa en TI, ciberseguridad y privacidad, explicó cómo los datos biométricos se dividen en dos grupos. Hay datos fisiológicos, que se componen de datos biológicos y morfológicos (externos o relacionados con la apariencia) también hay datos de comportamiento, que se consideran datos biométricos. Hay varios rasgos repetibles que se pueden usar para identificar a un individuo: ADN, olor, la forma de su oreja – «aparentemente eso es único para nosotros» – marcha y dinámica de pulsaciones de teclas.

«Creo que tenemos que pensar en algo más que huellas dactilares (y) reconocimiento facial, aunque obviamente son las claves», dijo. Dado que tanto el sector público como el privado implementan la autenticación biométrica, la ley debe mantenerse al día y las personas deben equilibrar el intercambio de datos. El uso de la tecnología por parte del gobierno está superando la legislación para proteger la información de las personas.

La biometría para fines de autenticación exige un escrutinio. Puedes cambiar tu contraseña si está expuesta, pero ¿qué sucede si estás usando tu rostro o huella digital para demostrar quién eres?

Nuestra biometría es «inherentemente identificable», dijo Wingard, y aunque existen algunas leyes de privacidad que exigen que los datos biométricos se traten como datos confidenciales, no todas las leyes se encuentran en esta etapa. También cuestionó la capacidad del gobierno y las empresas para anonimizar completamente los datos biométricos.

Las personas confían en la legislación para otorgarles derechos y un marco dentro del cual operar. Sin leyes para defender la privacidad de nuestros datos, nos quedamos para emprender acciones legales personales si creemos que nuestros datos están siendo mal utilizados la mayoría de las personas no tienen el tiempo, el dinero o, a menudo, la inclinación para someterse a ese proceso, señaló.

Este es un problema world-wide porque cada nación maneja las leyes de privacidad de manera diferente y cada uno tiene sus propios problemas y lagunas. Muchas leyes de privacidad, por ejemplo, dependen en gran medida del anonimato. Una vez que la información private se anonimiza, las empresas son libres de manejar esa información como lo deseen.

Leyes de privacidad en APAC
Al dirigirse a su audiencia digital de asistentes de Black Hat Asia, Wingard brindó una visión de alto nivel de las leyes de privacidad de diferentes naciones en toda la región. El Reglamento Standard de Protección de Datos de la Unión Europea (GDPR) ha recibido mucha prensa sin embargo, está lejos de ser el único.

Comenzó con Singapur, que tiene algunas leyes. La Ley de protección de datos personales (2012) cubre cómo las organizaciones pueden recopilar, usar, almacenar y divulgar datos personales. Pone restricciones para saber qué se requiere para el consentimiento y cuánto tiempo pueden conservar los datos después de que se necesitan. El PDPA reconoce que los datos biométricos son datos personales y llama al reconocimiento facial y al ADN. Las personas pueden solicitar que una organización cambie sus datos, pero no los elimine. «El derecho al olvido», como se describe en el RGPD, es a menudo lo que la gente busca, anotó.

Singapur tiene diferentes reglas para los sectores público y privado. Su Ley del Sector Público (Gobernanza) de 2018 exige que las agencias públicas cumplan con las instrucciones del Primer Ministro sobre protección de datos. El primer ministro dicta reglas depende de las agencias públicas implementarlas. Si se descubre que una agencia del sector público ha incumplido sus obligaciones de proteger los datos personales y biométricos, no es la agencia la que se mete en problemas, es el funcionario quien es personalmente responsable por la violación de la privacidad.

Aunque no está seguro de cómo se aplica esto en la práctica, Wingard señaló que esto podría tener el efecto de que los funcionarios manejen la información más de cerca de lo que lo harían si no hubiera ninguna responsabilidad particular.

Pasos que puede tomar
En lugar de depender de las organizaciones para salvaguardar nuestros datos, o de los gobiernos para typical su uso, Wingard alentó a los oyentes a pensar detenidamente sobre cómo regalan los datos biométricos. Piense en quién lo colecciona. ¿Para qué lo usarán? Qué podría lo usan para?

Ella recomendó leer la política de privacidad de esta manera: «Ni siquiera es necesario que la lea toda simplemente lea la sección que habla sobre &#39estamos recopilando su información para cualquier propósito&#39». Esto revelará cómo una organización utilizará los datos y a quién revelará esa información dependiendo de la naturaleza de la información, puede decir que no se divulgará a nadie fuera de la organización.

Esto puede ayudarlo a decidir si se siente cómodo compartiendo información con una entidad en individual y decidir si los servicios que recibe a cambio valen la pena, explicó.

Wingard también sugirió observar de cerca el enfoque de los funcionarios gubernamentales sobre la privacidad. ¿Qué están haciendo sus representantes electos? ¿Tienen pensamientos sobre la privacidad? ¿Sus puntos de vista se alinean con los tuyos? Si bien no hay una gratificación inmediata en el proceso democrático, los funcionarios que apoyan los derechos de privacidad pueden eventualmente cambiar el equilibrio hacia los usuarios a largo plazo, dijo.

«Necesitamos equilibrar esta desconexión entre los derechos de las personas y el poder de las organizaciones, y la gente que puede hacer eso la gente que puede cambiar el equilibrio es nuestro gobierno», dijo Wingard.

Kelly Sheridan es la editora de own de Dim Reading, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique