El Centro Deportivo Municipal Barceló se inauguró oficialmente en Madrid la pasada primavera con el concejal presidente del distrito Centro Jorge García Castaño, el director general de Deportes Javier Odriozola y 4.000 preinscritos. Una enorme popularidad teniendo en cuenta que no es barato, que no es compatible con otros gimnasios municipales y que exige a los usuarios algo que sería más apropiado en una comisaría: la huella digital.
Hay muchos métodos de identificación. Puede ser algo que solo nosotros sabemos (nombre, contraseña), algo que tenemos (llave, tarjeta, certificado), algo que hacemos (caligrafía, patrones de teclado) y algo que somos (huella digital, iris, ADN). Los datos que se generan a partir de características físicas o fisiológicas únicas de una persona (lo que somos) se llaman datos biométricos.
En los últimos años, el coste de las tecnologías que permiten el uso y tratamiento de ese tipo de datos se ha abaratado tanto que los lectores de huellas, los escáner de retina y los sistemas de reconocimiento facial empiezan a sustituir a las tarjetas, códigos, contraseñas y firmas en lugares tan mundanos como el gimnasio o un festival. El problema es que los datos biométricos son especialmente delicados, porque son irrevocables y son muy fáciles de clonar.
Según el artículo 4.1 de la Ley Orgánica de Protección de datos, “los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.
Aunque hay ambigüedad a la hora de valorar lo que es “adecuado, pertinente y no excesivo”, en el caso de la huella digital está despejada de antemano, porque las autoridades competentes se han manifestado claramente.
Lo que dicen las autoridades competentes
Para empezar, el Dictamen 3/2012 del GT29, el Grupo de Autoridades europeas de protección de datos en el que está incluida la Agencia Española, usa precisamente el gimnasio como ejemplo de uso desproporcionado (y por tanto, ilícito) de los controles de acceso por lectura de huella digital.
El GT29 considera que hay medios menos lesivos para controlar el acceso de los socios y que, por tanto, su uso es desproporcionado e innecesario. Pero tenemos un precedente aún más cercano, un informe jurídico del año 2010 sobre un caso similar en España donde la finalidad que motiva el tratamiento de datos es otorgar un servicio a un cliente. Aquí la Agencia Española de Protección de Datos dice exactamente lo mismo:
Por qué importan tus huellas digitales
La biometría es cómoda y todo lo cómodo es popular. Según un estudio reciente de VISA, el 51% de los españoles desearía utilizar la biometría (huellas dactilares, reconocimiento a través del iris ocular, etc) como método de autentificación a la hora de realizar un pago en lugar de recordar contraseñas o llevar llaves o tarjetas encima. Con el lector de huellas del iPhone ya no tenemos que perder dos segundos introduciendo una clave de cuatro cifras, o dibujando un patrón. En un gimnasio, elimina la necesidad de llevar la tarjeta, pulsera o identificador encima. En un festival, impide que se cuelen varias personas con la misma pulsera, o con una entrada que ha perdido otro.
El problema es que los datos biométricos son inmutables: podemos cambiar de contraseñas, tarjetas, llaves, número de teléfono y dirección, pero no podemos cambiar de huellas digitales. Por eso hasta ahora estaba circunscrita al ámbito de la Justicia, concretamente la persecución y represión penal con fines de identificación.
Sus defensores argumentan que es la tecnología más segura. Según el Instituto Nacional de Estándares y Tecnología, la autentificación por huella dactilar tiene una precisión del 98.6% con un solo dedo. Aseguran que pueden robarnos las llaves, coger nuestras tarjetas o adivinar nuestras contraseñas pero nadie puede robarnos la identidad. Lamentablemente, los hechos demuestran lo contrario, y muchos hackers se han divertido en los últimos años robando huellas digitales para demostrarlo.
Tu huella no es un secreto, tu contraseña sí
Tu huella no es un secreto. Hace dos años Jan Krissler, más conocido como 'starbug', estuvo en el congreso del Chaos Computer Club contando cómo había conseguido las huellas de la ministra alemana de defensa Ursula von der Leyen sin más herramientas que un software llamado VeriFinger y varias fotos de su mano en alta definición.
Un año antes, consiguió engañar al TouchID de Apple menos de 24 horas después de que el iPhone 5S saliera a la venta. Le bastó una foto de una huella en la pantalla del teléfono y un poco de pegamento y aerogel de grafeno. “Creo que mi contraseña es más segura que mi huella, porque mi contraseña está en mi cabeza y, si tengo cuidado al teclearla, soy la única persona que la ve”.
El otro problema, como nos explica el abogado especialista en protección de datos Javier Prenafeta, socio de Abanlex, es que falsificar, clonar y distribuir esos datos está tirado. “Siendo que además es un dato que yo no puedo cambiar fácilmente (porque la lija no es agradable) - explica Prenafeta- prefiero que el gimnasio no lo tenga. Porque no estamos hablando de entrar en el Pentágono, sino de un gimnasio, así que como usuario le diría mire usted, si tiene problemas porque la gente se cuela, revise los carnets, póngales una foto y haga controles, o búsquese la vida, pero a mí sólo me escanea el dedo la Policía.”
Después está el problema de su almacenamiento. Incluso cuando la empresa, gimnasio, o banco que lo requiere son de nuestra completa confianza, las bases de datos suelen estar centralizadas en los servidores de unas pocas empresas. La sueca Fingerprint Card AB, por ejemplo, guarda todas las huellas biométricas de los Android. Y hasta las bases de datos más protegidas se hackean todo el rato. ¿Qué pasa cuando alguien que tiene nuestra huella accede a la base de datos de nuestro DNI electrónico?
Si vas a dejar tu huella, pregunta qué harán con ella
El usuario que prefiere renunciar a esa protección para no llevar carnet está en su justo derecho, pero necesita saber qué tratamiento se aplicará a esa delicada información: si será guardado en una base de datos, con qué finalidad y bajo qué tipo de protección. También debe saber si tiene derecho de acceso, rectificación, cancelación y oposición a esos datos, y qué pasará con ellos si la empresa quiebra o es adquirida por otra empresa, o cuando cancele la suscripción.
La hoja de inscripción del Centro Deportivo Municipal Barceló incluye un pequeño apartado de protección de datos donde indica que sus datos “serán incluidos en en los ficheros de titularidad de CARPA SERVICIOS Y CONSERVACIÓN S.L.U. e inscritos en la Agencia de Protección de Datos, siendo su finalidad la ”Gestión contable fiscal y administrativa de los usuarios del centro deportivo, datos de los menores de edad que acceden al centro y de sus tutores/representantes legales, prospección comercial, captación de nuevos usuarios y publicidad“. Los continuados intentos de contactar con los responsables del Centro Deportivo Municipal Barceló para aclarar el resto de cuestiones han sido infructuosos.
Por petición expresa de eldiario.es, el Ayuntamiento de Madrid se ha puesto en contacto con la empresa y ha conseguido un certificado de la empresa concesionaria, llamada T-Innova, en el que “certifica la seguridad del proceso de grabación y lectura para el lector grabador: Gat6100f bio station”, supuestamente el utilizado en el centro. Asegura que la información biométrica queda guardada en la pulsera correspondiente y no en una base de datos. Consultada la Agencia de Protección de Datos, nos han remitido al informe mencionado unos párrafos más arriba.
El Centro Deportivo Municipal Barceló fue la primera adjudicación del ayuntamiento de Carmena a una empresa privada. Para el Grupo Forus, sin embargo, es ya el octavo que tienen adjudicado en la Comunidad de Madrid, con 4.000 metros cuadrados en las tres últimas plantas del mercado de Barceló durante 25 años. Forus tiene gimnasios en Chamartín, Móstoles, Alcalá de Henares, Parla, Getafe, Coslada y Fuenlabrada. No todos tienen autentificación por huellas dactilares. El de Barceló, sin embargo, no ofrece ninguna otra opción.