Brecha de seguridad de datos biométricos: definición
Una brecha de seguridad de datos biométricos es un incidente de seguridad que provoca la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, ya sea accidental o ilícito, a datos biométricos tratados como datos personales. La base normativa se encuentra en el art. 4.12 del RGPD para el concepto de violación de la seguridad de los datos personales y en el art. 4.14 del RGPD para el concepto de datos biométricos. Conforme al RGPD, los datos biométricos son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permiten o confirman su identificación única, como la imagen facial o los datos dactiloscópicos.
En el contexto de fotografías y grabaciones de vídeo, este concepto se refiere principalmente a materiales a partir de los cuales puede reconocerse a una persona por su rostro, así como a derivados técnicos como el embedding facial, el vector de características, el mapa de puntos característicos o el patrón de comparación utilizado por un sistema de reconocimiento. La simple imagen del rostro no siempre constituirá un dato biométrico en el sentido del art. 9 del RGPD. Pasa a serlo cuando se trata mediante medios técnicos específicos con el fin de identificar o autenticar de forma unívoca a una persona. Esta distinción es importante para la calificación del incidente, la evaluación del riesgo y las obligaciones de notificación.
En la práctica de la anonimización de fotos y vídeos, la brecha puede afectar tanto al material original antes del difuminado del rostro como a los datos intermedios generados por algoritmos de visión por computador. Si una organización entrena o utiliza un modelo de deep learning para detectar rostros, crea un pipeline de tratamiento que incluye fotogramas de vídeo, detecciones, coordenadas de cuadros delimitadores, identificadores de objetos y momento de aparición. Si este pipeline sirve únicamente para detectar y difuminar rostros, y no para reconocer identidades, no toda operación constituirá un tratamiento de categorías especiales de datos. Sin embargo, la filtración de grabaciones no anonimizadas con rostros visibles puede seguir siendo una brecha de datos personales con alto riesgo para los interesados.
Cómo calificar una brecha en material fotográfico y de vídeo
La calificación del incidente exige separar tres capas: los datos de entrada, los datos intermedios y la finalidad del tratamiento. Precisamente esta división determina si estamos ante una brecha de datos personales ordinarios o ante una brecha de datos biométricos como categoría especial de datos del art. 9 del RGPD.
En materiales foto y vídeo suelen analizarse las siguientes variantes:
Situación | Naturaleza de los datos | Observaciones de cumplimiento
|
|---|---|---|
Filtración de una grabación no anonimizada con rostros visibles | Datos personales, no siempre datos biométricos | La valoración depende de la finalidad y de la técnica de tratamiento |
Filtración de una base de embeddings faciales utilizados para identificación | Datos biométricos | Alta probabilidad de riesgo elevado |
Acceso no autorizado a un modelo que vincula rostros con identidades | Puede incluir datos biométricos y secretos del sistema | Debe evaluarse la posibilidad de reconstrucción o uso indebido de patrones |
Publicación errónea de material antes del difuminado de rostros o matrículas | Datos personales, en ocasiones datos biométricos | Relevante en la publicación de grabaciones de videovigilancia y fotos en espacios públicos |
El Comité Europeo de Protección de Datos, en sus Directrices 01/2022 sobre el derecho de acceso, indica que una fotografía por sí sola no siempre constituye un dato biométrico, aunque puede llegar a serlo según el modo de uso. Por su parte, las Directrices 05/2022 sobre el uso de tecnologías de reconocimiento facial en el ámbito policial describen este ámbito como uno que exige una evaluación estricta de la finalidad, la proporcionalidad y la base jurídica. Para el DPD, esto significa que el incidente no debe describirse solo con la pregunta “¿se filtró una imagen facial?”, sino también “¿la organización generaba o almacenaba patrones destinados a la identificación unívoca?”.
Importancia para la anonimización de fotos y grabaciones de vídeo
En el proceso de anonimización de fotos y grabaciones de vídeo, el objetivo es reducir el riesgo de identificación de una persona mediante la eliminación irreversible o prácticamente irreversible de los rasgos identificativos. En la práctica, Gallio PRO difumina automáticamente rostros y matrículas en materiales ya almacenados, no en emisión en directo. Esto reduce la superficie de riesgo, pero no elimina las amenazas en las fases de importación, tratamiento, exportación y archivo de los archivos originales.
Para el difuminado automático de rostros se utilizan modelos de deep learning de detección de objetos o segmentación. El modelo debe haberse entrenado previamente con conjuntos de datos adecuados que contengan rostros etiquetados mediante anotaciones. Después, ese modelo detecta la ubicación del rostro en los fotogramas y transmite las coordenadas al módulo de desenfoque o enmascaramiento. Si el sistema no asigna la identidad del rostro detectado a una persona concreta ni lo compara con una base de patrones, su función es, por regla general, de detección y no de identificación. Aun así, el material de entrada sigue conteniendo datos personales y su filtración puede requerir la notificación de la brecha.
El problema práctico es que incluso una breve ventana temporal entre la obtención del archivo y su anonimización constituye un periodo de riesgo elevado. La brecha puede producirse por una configuración incorrecta de recursos compartidos en red, privilegios excesivos del operador, exportación de un archivo intermedio, copia de seguridad sin cifrado o publicación errónea de una versión previa a la anonimización.
Obligaciones de notificación tras una brecha de datos biométricos
El RGPD impone obligaciones que dependen del nivel de riesgo para los derechos y libertades de las personas físicas. El responsable del tratamiento evalúa la probabilidad y la gravedad de las consecuencias del incidente, y no solo el hecho técnico de la vulneración. En el caso de los datos biométricos, el umbral de riesgo suele ser más alto, porque un patrón biométrico no puede “cambiarse” eficazmente como una contraseña.
Las obligaciones básicas son las siguientes:
- art. 33 del RGPD: notificar la brecha a la autoridad de control sin dilación indebida y, de ser posible, a más tardar en 72 horas desde que se tenga constancia de ella, salvo que sea improbable que constituya un riesgo para los derechos y libertades de las personas físicas,
- art. 34 del RGPD: comunicar la brecha al interesado cuando sea probable que entrañe un alto riesgo para sus derechos o libertades,
- art. 33.5 del RGPD: documentar todas las brechas, sus circunstancias, sus efectos y las medidas correctoras adoptadas.
Para evaluar el alto riesgo resultan útiles las Directrices del Grupo de Trabajo del Artículo 29 WP250 rev.01 sobre notificación de violaciones de seguridad, posteriormente asumidas por el CEPD. En relación con los datos biométricos, revisten especial importancia consecuencias como la suplantación de identidad, el perfilado secundario, el seguimiento no autorizado de una persona entre distintos sistemas y la pérdida de control a largo plazo sobre un identificador biométrico único.
Parámetros clave para evaluar el incidente
En un entorno de tratamiento de imagen, una simple lista de archivos no basta para evaluar la brecha. Se necesitan parámetros técnicos y operativos medibles. Estos facilitan la evaluación de la magnitud de la exposición y de la eficacia de las medidas correctoras.
Parámetro | Importancia | Ejemplo de uso
|
|---|---|---|
Número de registros / archivos | Escala del incidente | 12.400 fotos, 380 grabaciones |
Número de personas potencialmente identificables | Impacto real sobre los interesados | estimación basada en una muestra o en metadatos |
Recall de detección facial | Porcentaje de rostros detectados por el modelo | los rostros no detectados aumentan el riesgo de publicación de datos |
Tasa de falsos negativos | Porcentaje de rostros omitidos | clave en el control de calidad de la anonimización |
MTTD / MTTR | Tiempo de detección y resolución del incidente | métricas de seguridad operativa |
Tiempo de exposición | Durante cuánto tiempo estuvieron accesibles los datos | por ejemplo, 9 horas de acceso público |
Estado del cifrado | Si los datos estaban protegidos criptográficamente | relevante para el art. 34.3.a del RGPD |
Para los equipos técnicos resulta útil un indicador sencillo de exposición operativa:
Índice de Exposición al Riesgo = número de personas x tiempo de exposición x coeficiente de reversibilidad de la identificación
No se trata de una fórmula normativa, sino de una herramienta práctica interna para priorizar la respuesta. El coeficiente de reversibilidad de la identificación debe ser más alto para grabaciones en bruto con rostros visibles que para material correctamente difuminado.
Medidas correctoras y preventivas
Tras un incidente, no solo importa cortar el acceso, sino también limitar el riesgo de reidentificación a partir de material fotográfico y de vídeo. Las actuaciones deben abarcar tanto la capa de seguridad de la información como el propio proceso de anonimización.
Las medidas más habituales son las siguientes:
- retirada inmediata o bloqueo del acceso a archivos no anonimizados,
- verificación de que se ha publicado la versión correcta del archivo tras el difuminado de rostros y matrículas,
- reprocesamiento del material con control de calidad de la detección de rostros y matrículas,
- cifrado de datos en reposo y en tránsito conforme a la política de seguridad,
- segregación de entornos de entrenamiento, prueba y producción,
- minimización del tiempo de conservación de archivos originales antes de la anonimización,
- registro de accesos basado en eventos del sistema, sin registrar los propios datos personales,
- pruebas de eficacia del proceso de anonimización sobre una muestra de control.
En entornos on-premise, es especialmente importante controlar los repositorios locales, las copias de seguridad y los privilegios de los administradores. Si la organización utiliza Gallio PRO, debe tener presente que el software solo difumina automáticamente rostros y matrículas. Otros elementos, como documentos, tatuajes, logotipos o la imagen mostrada en un monitor, pueden requerir actuación manual en el editor. Esta limitación debe tenerse en cuenta en el análisis de riesgos y en el procedimiento de publicación de materiales.
Referencias normativas y fuentes
La definición y las obligaciones deben basarse en documentos fuente y en directrices oficiales de las autoridades europeas. En el ámbito de las fotos y los vídeos, los más importantes son los actos jurídicos y las directrices interpretativas sobre datos biométricos, brechas de seguridad y reconocimiento facial.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, RGPD, art. 4.12, art. 4.14, art. 9, art. 33, art. 34
- WP29, Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01, 6 de febrero de 2018, aceptadas posteriormente por el CEPD
- CEPD, Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement, versión adoptada el 26 de abril de 2023, relevantes para comprender la técnica de reconocimiento facial
- CEPD, Guidelines 01/2022 on data subject rights - Right of access, versión adoptada el 28 de marzo de 2023, aclaraciones sobre fotografías y datos biométricos
- ENISA, Personal Data Breach Notification Tool y materiales sobre clasificación de incidentes, apoyo práctico para la evaluación del riesgo
- ISO/IEC 2382-37:2022 - vocabulario de biometría
- ISO/IEC 24745:2022 - protección de la información biométrica