Las empresas de biometría deben cumplir con proteger datos de usuarios

La modificación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, aprobada el pasado 20 de marzo, afecta directamente cómo las empresas de verificación de identidad mediante biometría procesan y almacenan la información personal de sus usuarios.

Entre otras cuestiones, el cambio señala que ahora las empresas deben contar con el consentimiento informado de los usuarios antes de procesar sus datos biométricos, y deben detallar los fines para los cuales serán usados y sus riesgos, procesar los datos biométricos estrictamente necesarios, así como implementar medidas como la encriptación de datos o su eliminación tras su finalidad para garantizar la seguridad de la información personal del usuario. El uso indebido de datos personales sensibles puede conllevar multas que van de los $10.857 hasta los $69.484.800 de pesos mexicanos.

“Las empresas de verificación biométrica juegan un papel trascendental para reducir el fraude y el robo de datos personales. Nos corresponde a nosotros cumplir y hacer cumplir la legislación vigente”, dijo Jesús Aragón, CEO de Identy.io.

El ejecutivo explicó que la tecnología de verificación de identidad mediante biometría de Identy.io ya cumplía con la nueva normativa de protección de datos al almacenar datos críticos del usuario en su propio celular y no en la nube.

Identy.io procesa toda la información del usuario en su propio celular, lo que garantiza que solo el usuario tiene acceso a esta información. Una vez completado el proceso de onboarding –en el que Identy.io comprueba que la información biométrica capturada por el usuario en su celular (huella dactilar, rostro o palma, por ejemplo) le pertenecen realmente–, se genera una credencial digital que se almacena en su celular bajo encriptación, y solo su propietario puede acceder a esta información, eligiendo en todo momento qué datos se comparten, cuándo y a quién.

Adicionalmente, el sistema biométrico de identificación del usuario con detección de vida (liveness) de la empresa añade una capa adicional de seguridad, al permitir el reconocimiento de la identidad del usuario de una forma muy difícil de falsificar. “Ni siquiera mediante inteligencia artificial o con un molde de silicona que replique la huella del usuario”, declararon desde la empresa. Esto hace posible llevar a cabo transacciones críticas directamente desde el celular del usuario final, con la certeza de estar cumpliendo la normativa de privacidad de datos del país.

Jesús Aragón subrayó que las soluciones biométricas sin contacto de Identy.io cumplen los estándares de seguridad propuestos por el NIST (National Institute of Standards and Technology) en lo que a gestión de identidad digital se refiere, al respaldar procesos eKYC (siglas en inglés de “conozca electrónicamente a su cliente”) y marcos AML (contra el blanqueo de capitales), además de cumplir la norma ISO 30107-3 sobre detección de vida, para garantizar la seguridad y precisión de sus aplicaciones de gestión biométrica de identidad.