PRUÉBALO

Home > Protección de Datos

Tus datos están protegidos

Creemos en el derecho de las personas a utilizar su biometría para ser identificados de manera voluntaria y segura.

¿Quieres saber cómo lo conseguimos? 

Privacidad por defecto y desde el diseño

Tecnología segura y certificada

Cumplimiento total de la normativa de Protección de Datos

Construyendo un mundo más cómodo y seguro gracias a la biometría

Certificados y cumplimiento

Para asegurar que llevamos a cabo nuestra actividad de forma segura para nuestros usuarios y clientes, cumplimos con diversos estándares a nivel nacional e internacional. Entre otros:

Veridas · GPDR

Reglamento General de Protección de Datos

Unión Europea

Veridas - Pacto Digital AEPD

Pacto Digital

Agencia Española de Protección de Datos

Veridas · California Consumer Privacy Act

California Consumer Privacy Act

California, USA

Veridas - INAI - Protección de Datos México

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales

México

Veridas - SIC Colombia

Superintendencia de Industria y comercio

Colombia

Además, es necesario que nuestras soluciones garanticen el máximo nivel de confianza, y por ello certificamos tanto la precisión de las tecnologías como la seguridad de nuestros sistemas, de acuerdo con diversos estándares. Estos certificados implican el análisis de los mismos por terceros acreditados, y, por tanto, aportan garantías añadidas a la hora de asegurar que tus datos están en buenas manos.

Veridas · NIST

National Institute of Standards and Technology

Estados Unidos

ISO 30107-3 – iBeta Level 2

Internacional

Catálogo de productos cualificados – Herramientas de videoidentificación

España

Veridas · Esquema Nacional de Seguridad

Esquema Nacional de Seguridad

España

Veridas · ISO 27001

ISO 27001 – Seguridad de la Información

Internacional

¿Cómo se comportan nuestras soluciones en materia de protección de datos?

Veridas ha desarrollado soluciones que pueden adaptarse a una gran diversidad de casos de uso, en función de las necesidades de nuestros clientes. En este apartado vamos a tratar de explicar lo que sucede a nivel de Protección de datos en cada una de ellas, si bien debe tenerse en cuenta que algunas cuestiones podrían verse modificadas dependiendo de la aplicación concreta que se haga para el caso de uso del cliente.

Esta solución permite realizar todo el procedimiento de verificación de identidad a distancia, sin necesidad de desplazamiento y con un gran ahorro en los recursos personales y materiales necesarios para llevarla a cabo.

Durante el proceso de alta u onboarding, tanto a través de una app como de una web, se tomará una fotografía o vídeo del usuario y de un documento que le permita demostrar su identidad.

Todos los datos contenidos tanto en el documento como en la imagen del rostro se mandarán a los sistemas de validación desarrollados por Veridas.

En esta fase se realizará el análisis de la veracidad del documento (con el tratamiento de los datos en él contenidos) y de la identidad de la persona, para lo que se crearán dos vectores biométricos: uno a partir de la foto que contiene el documento, y otro con el de la foto selfie que se toma el usuario en ese momento; al compararlos entre sí (en un proceso de los conocidos como 1:1 o uno-a-uno), se permite comprobar que una persona es quien dice ser.

Tras realizar la comprobación, estos datos se envían a la empresa cliente de Veridas, que, en general, actuará como Responsable (aunque puede haber casos en los que nuestro cliente actúe como Encargado, en cuyo caso trasladará la información al Responsable), y se eliminan los sistemas de Veridas al instante.

Autenticación facial

Nuestra tecnología de biometría facial te permite operar de manera segura en el mundo digital siendo simplemente tú. Sin necesidad de recordar usuarios ni contraseñas, con esta solución podrás autenticarte desde cualquier lugar.

La autenticación también supone comprobar que una persona es quien dice ser, pero en este caso la persona ya se tiene que haber dado de alta en los sistemas. Por ello, o bien consta en una base de datos de nuestro cliente, o bien ha recibido un código QR biométrico que le permitirá acceder.

Para realizar la comparación se empleará el vector biométrico obtenido de la fotografía que se tomará en el momento, por un lado, y, dependiendo del caso de uso: a) el que nuestra empresa cliente nos remita y que ya obra en su poder (por ejemplo, derivado del proceso de onboarding previo), o b) los datos extraídos del código QR biométrico en posesión del usuario (que podrá estar en una tarjeta, en tu smartphone…).

¡Y listo! En sólo unos pocos segundos habrás demostrado quién eres, con la garantía de que no quedará ningún dato tuyo en nuestros sistemas, ya que estos se usarán sólo para hacer la comparación, y a continuación se eliminarán.

Autenticación por voz

La solución de reconocimiento de voz, con una de las tecnologías líderes del mercado, permite que puedas autenticarte desde cualquier lugar, en cualquier idioma y con cualquier frase, y con una gran precisión.

Funciona de forma muy parecida a la autenticación facial: en un primer momento, se habrá hecho una pequeña grabación de voz cuyo vector biométrico se guardará en las bases de datos de la empresa cliente de Veridas, que es con quien el usuario contrata. 

Una vez hecho esto, cada vez que el usuario quiera autenticarse para acceder al servicio, simplemente hará falta un pequeño audio (con tres segundos bastan), que se procesará en los sistemas de Veridas. Tras generar el vector biométrico de dicha grabación, se comparará con aquél que se había guardado previamente en los servidores de la empresa cliente, determinando así si la persona es quien dice ser. 

Finalmente, en una operación que tarda menos de un segundo, los datos se eliminan de todos los sistemas de Veridas.

Detección de identidades duplicadas

DasFaceBond ayuda a evitar que se den casos de fraude. Este servicio permite discernir si una persona que se intenta dar de alta en los servicios de la empresa cliente se encuentra ya en la base de datos a través de nuestra tecnología de reconocimiento facial, evitando así que haya identidades duplicadas.

Das-FaceBond es una solución que funciona cotejando la imagen de la persona o documento, tomada (por ejemplo) en el proceso de onboarding, con las que el cliente tiene guardadas en sus bases de datos. Por tanto, se tratará siempre de una identificación (1:N).

Como es un servicio que se presta en las instalaciones de nuestra empresa cliente, en este caso Veridas no llegará a estar en posesión de los datos en ningún momento.

¿Qué medidas tomamos para garantizar la confianza y seguridad en el tratamiento de los datos personales de los usuarios?

Las soluciones de Veridas son garantía de confianza y seguridad en el tratamiento de los datos personales de los usuarios de nuestros clientes. Estas son algunas de las medidas que tomamos para lograrlo:

1. Siempre actuamos como Encargados del Tratamiento: No tratamos datos de los usuarios para fines propios, sino únicamente para proporcionar servicios a nuestras empresas clientes (los Responsables del Tratamiento), y únicamente conforme a sus directrices.

2. Minimización de datos personales: Se minimizan al máximo los datos personales a los que Veridas podría tener acceso durante la prestación de los servicios. Los datos tratados serán diferentes en función de la solución que se esté empleando, pero en cualquier caso serán sólo los indispensables para proporcionar el servicio.

3. Tecnología biométrica basada en Inteligencia Artificial: Esta tecnología funciona, a grandes rasgos (puede cambiar en función de la solución), del siguiente modo:

  • Se recaban los datos que van a ser procesados por el motor biométrico, y se envían a él.
  • En este motor se procesarán los datos, generando lo que se conoce como “vector biométrico”, que no es más que una forma de representar las facciones o la voz (en nuestro caso) de las personas. A simple vista, es una cadena numérica muy larga, que tiene las siguientes ventajas en relación con la seguridad de los datos:
    • Es irreversible: no es posible reconstruir la cara o voz a partir del vector. A diferencia de lo que ocurría con otros métodos usados en el pasado, que creaban por ejemplo un “mapa” de la cara de la persona y luego lo encriptaban, estos números no representan distancias entre puntos característicos de tu cara, sino que es una interpretación única que el motor biométrico hace de ella y que sólo él entenderá.
    • No es interoperable: no es posible utilizar este vector en otros sistemas, ya sean motores biométricos distintos, u otras versiones del mismo motor que lo creó. Esto también implica que, simplemente actualizando la versión del motor biométrico, los vectores creados por la versión anterior no servirían para nada.

Por tanto, en caso de sustracción o acceso no autorizado, estos datos serían totalmente inservibles: sólo se tendría una ristra de números a la que no se podría dar sentido.

  • Por último, se realiza la comparación entre los vectores que se hayan obtenido (no entre imágenes o grabaciones). El sistema indicará entonces con qué nivel de confianza puede decirse que se trata de la misma persona

 

4. No conservamos datos personales: Veridas no conserva ni los datos personales del usuario ni los vectores biométricos que se han creado: una vez realizado el proceso para el que se nos ha contratado y enviada la información relevante al Cliente, borramos toda la que haya estado en nuestros servidores de forma automática.

Preguntas frecuentes (FAQs)

PROTECCIÓN DE DATOS

La protección de datos personales es un derecho fundamental que, si bien no se establece literalmente en el texto de la Constitución Española, se desprende de su artículo 18.4. Aunque ya estaba regulado desde hacía algunos años, hasta 2018 no ha cobrado verdadero peso, tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la aprobación en España de la Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
En esencia, es un derecho que nos concierne a todos, ya que trata de evitar que se haga un uso indiscriminado y sin conocimiento de nuestros datos, a la vez que nos da herramientas para hacer que sea respetado. Esto, en un contexto en el que los datos son, al mismo tiempo, el activo de comercio más valioso y un riesgo para nosotros, si se usan indebidamente, nos otorga ciertas garantías añadidas a la hora de proteger nuestra presencia no sólo en internet, sino también fuera de ella.

No tienes que hacer nada: depende únicamente de dónde residas. Si resides en la Unión Europea, en general te son de aplicación las normas que existan en su ámbito, y el RGPD es una de ellas; asimismo, las de los Estados Miembro que mejoren su protección también te serán de aplicación, aunque únicamente en su ámbito territorial.

Por otro lado, a Veridas, como empresa europea y española, aunque opere en otros países, siempre siempre se le va a aplicar lo que lo que establece el RGPD y la LOPDGDD, por lo que todos nuestros clientes y usuarios verán sus derechos cubiertos al mismo nivel, sean o no ciudadanos comunitarios. Además, muchos otros países (de Latinoamérica, Estados de EE.UU., etc.) tienen sus propias regulaciones en la materia que también protegen a sus ciudadanos, y en Veridas, como Encargados del Tratamiento, también nos esforzamos en cumplir con la normativa de estos países.

Veridas sólo trata los datos de documentos identificativos, imagen y voz que la persona proporciona para verificar su identidad (mediante fotografía, vídeo o grabación), y que serán distintos en función de la solución que se esté utilizando. Así, para:

  • Onboarding digital: imagen y/o vídeo de la cara, documento de identidad (con todo su contenido: nombre y apellidos, número de DNI, lugar de nacimiento o residencia, etc…).
  • Autenticación facial: imagen de la cara.
  • Autenticación por voz: registro de voz.

Por otro lado, Veridas, como empresa europea y española, aunque opere en otros países, siempre va a verse obligada a cumplir con lo que establece el RGPD y la LOPDGDD, por lo que todos nuestros clientes y usuarios verán sus derechos cubiertos al mismo nivel, sean o no ciudadanos comunitarios. Además, muchos otros países (de Latinoamérica, Estados de EE.UU., etc.) tienen sus propias regulaciones en la materia que también protegen a sus ciudadanos, y que en Veridas nos esforzamos por cumplir, en nuestra calidad de Encargados del Tratamiento.

Por último, naturalmente, Veridas también trata ciertos datos como Responsable, como pueden ser los de la página web y que están limitados al uso de ciertas cookies y a los datos que se nos pueden facilitar para el envío de Newsletters; puede accederse a más información a través de este enlace.

En entornos productivos, Veridas sólo trata los datos de los usuarios durante el tiempo imprescindible para generar los vectores biométricos que van a servir para comprobar que es quien dice ser, y realizar el cotejo. Es un proceso que suele durar segundos.

Tras terminar este proceso, y a petición del cliente, todos los datos recabados se le enviarán a él (Responsable), y se eliminarán de la nube de Veridas. En realidad, es nuestra propia empresa cliente quien se encarga de eliminarlos, y Veridas tiene establecidos procesos automáticos de borrado periódico cada poco rato por si esa eliminación no se hiciese correctamente.  

Por tanto, Veridas no almacena datos de los usuarios de nuestros clientes cuando hacen uso de nuestras soluciones en entornos reales, ya que sólo los trata durante el tiempo mínimo para prestar el servicio. 

Si se tratase de un servicio que no hace uso de los servidores de nuestra nube, Veridas no tiene acceso a los datos en ningún momento, ya que se tratan únicamente en local. Por tanto, en estos casos Veridas ni siquiera actúa como Encargado del Tratamiento.

Veridas, en el ámbito de la prestación de sus servicios SaaS, siempre actúa como Encargada de Tratamiento. Esto tiene varias implicaciones:

  • Nunca trata los datos de los usuarios finales para fines propios, ya que está obligada a no salirse de las directrices marcadas por sus clientes (Responsables del Tratamiento).
  • La relación directa se da entre el usuario final y el Responsable, que deberá asegurarse de que puede tratar los datos personales para este fin y, en consecuencia, que también Veridas puede hacerlo. 

A menudo, esto implicará que se haya dado el consentimiento expreso para ello, que exista un contrato entre ambas partes que lo justifique o que la ley lo exija.

Cuando se trata de servicios que no hace uso de los servidores de nuestra nube, Veridas no actúa como Encargado del Tratamiento, ya que no tiene acceso a los datos personales de los usuarios en ningún momento.

Por lo demás, entre las obligaciones de Veridas destacan el mantenimiento de niveles de seguridad adecuados en función de los datos que se estén tratando. En este sentido, Veridas tiene entre otras las certificaciones ISO 27001 y Esquema Nacional de Seguridad, además de otras medidas que en ocasiones acuerda con sus Clientes.

La principal diferencia se encuentra en determinar quién tiene la capacidad de dirigir los tratamientos que se van a llevar a cabo; así, es el Responsable quien determina qué se va a hacer con los datos personales, y el Encargado deberá atenerse a sus directrices y no salirse de ellas.
De hecho, si lo hiciera correría el riesgo de convertirse él mismo en Responsable, con todas las obligaciones añadidas que ello acarrea.

Aunque la norma anterior ya introducía algunos derechos específicos del ámbito de la Protección de Datos, con el RGPD se han añadido otros y se han regulado de forma uniforme en todo el territorio de la Unión Europea. Así, estos son:

  • Derecho de acceso: es el derecho a solicitar acceso a todos los datos que una empresa o entidad tenga sobre ti.
  • Derecho de supresión: también conocido como “derecho al olvido”, es el derecho a exigir que se supriman todos o algunos datos que una empresa o entidad tenga sobre ti.
  • Derecho de rectificación: es el derecho a exigir que se rectifiquen datos que consideres erróneos o incompletos.
  • Derecho de limitación: con este derecho, podemos exigir que no se realicen ciertos (o ninguno) de los tratamientos para los que nuestros datos estaban siendo utilizados; en general, se utiliza mientras se aplica el ejercicio de supresión.
  • Derecho de oposición: es el derecho a oponerse a ciertos tratamientos.
  • Derecho a la portabilidad: garantiza que, cuando el tratamiento se efectúe por medios automatizados, puedas recibir tus datos en un formato que permita su uso por otros Responsables de Tratamiento. 

Para más información acerca de los Derechos RGPD, recomendamos acudir a la página web de la AEPD, en la que encontraréis mucha más información.

Y esto es respecto de los derechos reconocidos por el RGPD, pero en otros países también su legislación en materia de protección de datos reconoce derechos muy similares o incluso idénticos a los usuarios.

En primer lugar, hay que recordar que son derechos gratuitos. La entidad adecuada ante la que ejercitar tus derechos de Acceso, Rectificación, Supresión, Limitación, Oposición o Portabilidad (o Derechos RGPD) será siempre la empresa con quien se haya contratado o se quiera contratar; esto es, el Responsable del Tratamiento. 

Esto significa que Veridas sólo será el destinatario adecuado para la comunicación cuando se trate de datos que ha tratado como tal, y que son únicamente los recogidos en el punto 1.2 de nuestra Política de Privacidad.

No obstante, en caso de que no estés seguro de cómo dirigirte al Responsable y sólo sepas que te has relacionado con nosotros (en calidad de Encargados), haremos lo posible por facilitarte la información de contacto o incluso canalizar las solicitudes hasta él, si fuera necesario. Para ello, puedes comunicarte con nosotros en este correo gdpr@veridas.com

Por último, y si no se ha recibido respuesta por parte del Responsable, otra opción es acudir a la Agencia Española de Protección de Datos.

Como es bien sabido, el Reglamento General de Protección de Datos (RGPD) prohíbe por defecto las transferencias internacionales de datos, salvo que se cumplan ciertas cautelas especiales, como recabar el consentimiento específico, que exista una decisión de adecuación por parte de la Comisión, etc.

Con esto en mente, Veridas utiliza por defecto los servidores que Amazon Web Services tiene en Alemania e Irlanda para alojar sus servicios en la nube; por tanto, en ningún caso realiza transferencias internacionales de datos en el sentido del RGPD. Los datos solo se tratan durante unos segundos en esos servidores, y además AWS garantiza que no hay transferencia internacional de esos datos.  

Por supuesto, su participación como Sub-encargado del Tratamiento siempre se acuerda previamente con el Responsable a través del pertinente Contrato de Encargo, y cualquier cambio en dicho proveedor debe ser autorizado por él.

Veridas también dispone de servidores de AWS en Estados Unidos (Virginia y Oregón) para prestar servicio a sus clientes ubicados en el continente americano, siempre que así lo acuerde con dichos clientes en los acuerdos suscritos.

DATOS BIOMÉTRICOS

Tal y como lo define el RGPD en su artículo 4.14), son “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. 

Conforme a esta definición, una simple fotografía de la cara no se considera dato biométrico; es el tratamiento concreto al que se somete esa fotografía lo que determina que nos encontremos ante este tipo de datos.
Por ejemplo, en nuestro caso el vector biométrico que se crea es un dato biométrico, valga la redundancia, pero no la imagen de la cara que se utiliza para obtenerlo.

Esta es una pregunta bastante habitual, ya que el literal del artículo 9 del RGPD menciona que serán datos sensibles, entre otros, los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.

Sin embargo, la respuesta se encuentra en esta misma frase, ya que especifica que lo serán sólo aquellos dirigidos a identificar de manera unívoca a una persona”. 

A este respecto se han pronunciado ya la Agencia Española de Protección de Datos (AEPD), la Data Protection Commission de Irlanda, el Grupo de Trabajo del artículo 29, la Comisión Europea, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés) o, incluso, el británico ICO (Information Commissioner’s Office), que, aun estando referido al ámbito de su propio RGPD, está profundamente inspirado por su precursor europeo. Todos han llegado a la siguiente conclusión: cuando el RGPD menciona a los datos biométricos entre los datos sensibles (artículo 9), se refiere exclusivamente a los que se van a usar para identificar a las personas (1:N), pero no los que se tratan con el fin de verificarlas o autenticarlas (1:1). Es decir, aunque todos son datos biométricos, sólo los primeros requieren de una protección especial.

La verificación o autenticación es el proceso de comprobar que una persona es quien dice ser. Es decir, lo que se compara es su cara o voz (en general, realizando una fotografía o vídeo o una grabación de audio in situ) con la de quien dice ser (por ejemplo, a través de la imagen que se extrae del DNI o Pasaporte u otro documento que presenta, como un código QR biométrico). En otras palabras, los datos de quien se presenta alegando una identidad, no se comparan con los almacenados en una base de datos, sino que se comprueba que una persona (1) es la verdadera titular de un documento que ella misma presenta (1:1). Esta alternativa permite que sea la propia persona quien tenga pleno control de sus datos personales.

Por otro lado, la identificación, que también tiene como objetivo comprobar la identidad de la persona, se lleva a cabo cotejando el dato obtenido en el momento (en nuestro caso, vector biométrico de la fotografía, registro de voz, etcétera) (el “1”) contra otros que ya están registrados en una base de datos (la “N”). En estos casos, el legislador ha dotado a este tipo de datos con la categoría de “dato sensible”, por lo que resulta de aplicación el artículo 9 del RGPD.

Cuando hablamos de identificación es importante analizar, también, otra cuestión: ¿cómo se conforma y utiliza esa base de datos contra la que se hace la comparación (o “N”)? Esto resulta de interés porque no es lo mismo que el conjunto de identidades contra las que se realizan las comparaciones sean de personas a las que previamente se ha informado de este hecho (o incluso han otorgado su consentimiento, según la base legitimadora de aplicación), o si son de personas que desconocen que sus datos están siendo tratados con esta finalidad.

Así, a la hora de valorar el riesgo asociado, resulta fundamental asegurar que los sistemas de identificación no deriven, por ejemplo, en una vigilancia masiva e indiscriminada. Para ello se deberá garantizar el cumplimiento a través de la implantación de medidas de seguridad específicas y asegurar el cumplimiento de obligaciones como son informar adecuadamente a los usuarios o amparar el tratamiento en una base legitimadora válida.

Esta es, de hecho, la línea que ha tomado la Comisión Europea en su propuesta de regulación de la Inteligencia Artificial, donde por ejemplo considera que sólo serían considerados de alto riesgo aquellos sistemas de identificación biométrica remota en los que además no existe un registro previo, por lo que no se informa adecuadamente al usuario ni se cumplen otros requisitos básicos del RGPD.

La calificación de un dato como sensible no implica que deje de ser un dato personal, ni que sea un dato que no pueda tratarse: sencillamente es un dato personal que se considera especialmente importante para su titular, ya sea por su valor ético, moral o económico, por el riesgo que puede suponer su pérdida, filtración, u otros, y cuyo trato, por lo tanto, requerirá un mayor nivel de garantía. 

En principio, el tratamiento de estos datos está prohibido por el artículo 9.1 del RGPD salvo que se dé alguna de las circunstancias previstas en el artículo 9.2, pero, en la práctica, la principal consecuencia de la clasificación de un dato como sensible es que deben ser recabados y tratados con un cuidado especial. Esto no implica necesariamente un mayor riesgo para los Responsables del Tratamiento, pero sí una mayor diligencia: sencillamente deberán llevar a cabo sus tratamientos bajo las medidas de seguridad adecuadas, sobre la base de legitimación oportuna (tanto del artículo 6 como del artículo 9.2 del RGPD), informando debidamente a los titulares, contando con un Delegado de Protección de Datos y habiendo realizado una Evaluación de Impacto previa.

Respuesta corta: porque creemos que es la forma más cómoda y segura de acreditar nuestra identidad. A medida que los avances en seguridad lo van permitiendo, debemos tener la posibilidad de participar en el mundo digital con nuestra identidad real, sin necesidad de recurrir a credenciales o accesos artificiales, igual que hacemos en el mundo físico.

Además, incluso teniendo en cuenta la juventud de la actual tecnología biométrica basada en Inteligencia Artificial, los altos niveles de seguridad y las tasas de error bajísimas que ya se están consiguiendo indican que son tecnologías que han llegado para quedarse, ya que pueden superar incluso la valoración que puedan hacer los seres humanos. 

Si bien entendemos que la juventud de esta tecnología puede generar suspicacias (al igual que la mala prensa que errores pasados y ciertas políticas estatales han traído al sector de la biometría), lo cierto es que los avances son constantes. Por poner un ejemplo, desde los antiguos sistemas de reconocimiento facial por “landmarks”, que podían tener una precisión del entorno del 96% y que permitían conocer, de forma aproximada, el rostro de la persona si se conseguía acceder a los datos, los nuevos sistemas, como los de Veridas, tienen una tasa de acierto superior al 99%, y los datos biométricos que se generan son totalmente inservibles si se usan fuera del motor concreto en el que se han creado (recordemos que la irreversibilidad y la no interoperabilidad son características intrínsecas de los vectores biométricos actuales).

TECNOLOGÍA DE VERIDAS

Veridas ofrece sus soluciones, principalmente, en la modalidad SaaS (Software as a Service), proporcionando a nuestros clientes credenciales para que puedan hacer uso de nuestras soluciones alojadas en la nube. En estos casos, el flujo de datos sería el que se ha mencionado: 

  1. Se obtienen las evidencias (capturas del documento identificativo, fotografía selfie, grabación de audio,…).
  2. Se envían las evidencias a los sistemas de Veridas alojados en la nube, donde se realizan las verificaciones oportunas.
  3. Se envían los resultados de la validación así como las evidencias a la empresa cliente.

 

En estos servicios siempre actuamos como Encargados del tratamiento, previa firma de un Contrato de Encargo del tratamiento y cumpliendo siempre con el resto de obligaciones y cautelas que prevé la normativa.

Por el modo en que funciona Internet, puede ser que, cuando hay un proceso teniendo lugar sin que veamos más que una pantalla de carga, nos parezca que ese proceso esté “flotando como una nube” en algún lugar del ciberespacio. Sin embargo, que algo esté en la nube realmente lo que significa es que ese algo se encuentra en unos servidores muy reales, situados en un lugar muy real.

En el caso de Veridas, normalmente hacemos uso de la nube de Amazon Web Services, donde desplegamos nuestros sistemas para prestar el servicio a todos nuestros clientes. Por defecto, esta nube está ubicada en servidores en el Espacio Económico Europeo (Alemania e Irlanda). Además, cuando el cliente de Veridas opera en América y así se acuerda entre ambos, también se puede hacer uso de los servidores ubicados en Estados Unidos (Virginia y Oregón).
 

Un motor biométrico es el nombre que se le da al conjunto de algoritmos que transforman los datos de la cara o la voz (obtenido, en nuestro caso, a través de una fotografía, vídeo o grabación de voz), en lo que se conoce como “vector biométrico”: un dato biométrico, por haber sido sometido a un “tratamiento técnico específico”, conformado por una cadena de números irreversible (que no permiten reconstruir el dato a partir del que fueron creados).

Por decirlo de alguna forma, si asimilásemos una fotografía al café en grano, un motor biométrico sería un molinillo de café, y el vector biométrico, el café en polvo, una vez tratado y separado de aquellos componentes que no son útiles para la finalidad que se le va a dar.

Como en el caso del molinillo, cada versión de cada motor biométrico tiene un modo de funcionar y “moler” los datos especial y único, que convierte las imágenes de los rostros o la voz de las personas en un código, a su vez, especial y único, imposible de leer incluso por versiones diferentes del mismo motor. Por seguir con el símil, sería como si, además, ese café sólo pudiera utilizarse en una cafetera concreta; no por el empaquetado, sino por las propias características del café en polvo. 

En el entrenamiento de un motor biométrico podemos distinguir dos fases, para lo que deberán crearse dos bases de datos distintas y separadas: 

  • Fase de entrenamiento: durante este proceso, se “alimenta” al motor biométrico con la primera de las bases de datos para que aprenda a distinguir esos rasgos característicos de cada persona o documento que permiten llevar a cabo el reconocimiento de forma fiable. Esto se consigue haciendo que el motor “aprenda” a identificar caras dándole a analizar una enorme cantidad de ejemplos.
  • Fase de testeo: la segunda base de datos está destinada al testeo o prueba de una IA ya entrenada. Su finalidad es comprobar que el motor biométrico funciona como se quiere, para descubrir si existen fallos, sesgos, etcétera.

 

El motivo de que sean bases de datos diferentes es que, si testeásemos los motores con los mismos datos con los que han sido entrenados, ya “los conocerían”, así que ¡no podrían fallar! Vamos, que estaríamos haciéndonos trampas a nosotros mismos…

Huelga decir que se tiene especial cuidado a la hora de seleccionar las bases de datos que se utilizan con estos fines, ya que deberán cumplir los requisitos de información y de obtención del consentimiento que exige la normativa de protección de datos personales. Por ejemplo, nunca entrenamos nuestros sistemas aprovechando los datos que “pasan” por nuestro motor biométrico cuando nuestros clientes hacen uso de nuestros sistemas en producción; es decir, no utilizamos los datos del ciudadano que está acreditando su identidad a través de nuestra solución. Los sistemas se entrenan sólo en fases de desarrollo y no una vez que la solución está en producción, por lo que nunca se usan los datos de los usuarios.

Este es uno de los puntos en los que los avances en materia de biometría han sido más relevantes. Primero, porque se han alcanzado niveles de fiabilidad mucho mayores (del 96% que se conseguía con la tecnología de “landmarks” o “puntos característicos”, al más del 99% de la que usa Inteligencia Artificial).

Segundo, porque con la modalidad antigua lo que se hacía era “mapear” la cara de una persona y después encriptar esos datos, con lo que, en caso de sustracción y desencriptación, podrían llegar a ser utilizados. Es decir, se seleccionaban varios puntos de la cara (cejas, ojos, labios, etcétera) y se medían las distancias entre ellos (de ahí lo de “bio-metría”). Tras esto, se construía el vector como un resumen de esas medidas y se guardaban para futuros cotejos. Por tanto, esta tecnología tenía el problema de que, en caso de sustracción y desencriptación de los datos, lo que se obtenía era un “mapa de coordenadas” de la cara de la persona que se podía llegar a usar para reconocerla o, incluso, acceder fraudulentamente a ciertos lugares físicos o virtuales. 

Con la tecnología por Inteligencia Artificial, en cambio, lo que se obtiene es un “vector biométrico”, una cadena de números creada por un motor biométrico específico; se puede decir que este dato se crea en un “idioma” que sólo puede hablar el propio motor biométrico. Esto tiene dos implicaciones básicas:

  • Por un lado, estos vectores son irreversibles, lo que significa que no se puede, a partir de un vector biométrico, volver al rostro o a la voz a partir de los cuales se ha generado. Únicamente el motor biométrico que lo ha generado puede interpretar su contenido y utilizarlo a efectos de comparación con otro u otros vectores.

 

  • Por otro lado, además estos datos no serán interoperables (no podrán usarse en otros sistemas distintos), ya que cada versión concreta de cada motor biométrico genera, partiendo de una fotografía o grabación, un vector biométrico único y que solo ese sistema concreto sabe interpretar. Así, el vector biométrico no puede ser empleado en otros sistemas, lo cual limita enormemente el riesgo de usos no autorizados. E igualmente, una nueva versión del motor biométrico generaría vectores biométricos distintos; y esto que a nivel técnico puede no ser muy positivo, a nivel de protección de datos es una ventaja pues si bien la cara siempre va a ser la misma, en caso de ser necesario el vector biométrico puede regenerarse con un simple cambio del motor biométrico. 

 

Por último, por si fuera poco, estos vectores se protegen a su vez con otras muchas medidas de seguridad. Con todo, se consigue un nivel de seguridad muy alto, ya que, aunque alguien accediese indebidamente a estos vectores, no podría hacer absolutamente nada con ellos.

El reconocimiento facial de Veridas, basado en Inteligencia Artificial, tiene un nivel de seguridad mayor que el de otros medios tradicionales, incluso físicos: no requiere recordar usuarios ni contraseñas (que se pueden perder o robar), sino que uno mismo es su llave para acceder, y en ocasiones puede ser más fiable incluso que un ser humano a la hora de decidir si una persona es la misma que aparece en la imagen de un documento de identidad. 

La optimización de los procesos de identificación y verificación tienen su reflejo también en una necesidad mucho menor de accesos por parte del personal a todos estos datos personales, mejorando así las garantías de cumplimiento de la normativa de Protección de Datos.

Además, cuenta con las ventajas ya mencionadas en materia de seguridad: la IA genera un identificador (vector biométrico) que 1) es irreversible, por lo que si se tuviese acceso a él identificadores, no sería posible recuperar el rostro de la persona, y 2) no es interoperable, careciendo de utilidad si no se utiliza dentro de la versión concreta del motor biométrico que los generó, ya que cada versión tiene una forma única de generarlos y, con ello, también lo es su capacidad para interpretarlos.

Lo mismo ocurre con el reconocimiento por voz.

Un sesgo, en biometría, se puede definir como la existencia de bajadas importantes en el rendimiento cuando la tecnología se aplica a ciertos grupos  de datos o personas, aunque en principio esté diseñado para que se pueda usar con ellos. Por poner un ejemplo, que el sistema no reconozca igual de bien a una persona de color que a otra caucásica.

Dicho esto, el punto de partida es tener en cuenta que los sesgos no surgen porque la tecnología biométrica los genere por sí misma: aparecen cuando ha habido errores en la fase de diseño. El origen principal (aunque no el único) de este tipo de errores es entrenar un motor biométrico por IA con bases datos ya sesgadas de por sí. Volviendo al ejemplo anterior, si sólo le damos fotografías de hombres caucásicos, lo más seguro es que tenga problemas en reconocer a mujeres o a personas de otras etnias. 

Por tanto, el “secreto” (y nuestra obligación) está en diseñar y programar como es debido todo el plan de trabajo, una de cuyas partes esenciales es escoger con cuidado la información (fotografías, vídeos, grabaciones de voz…) que se va a utilizar para “enseñar” a la Inteligencia Artificial.

Por último, existe una fase posterior al entrenamiento, cuyo fin es asegurar que el sistema está libre de sesgos y errores: el “testeo”. Durante esta fase, se somete al motor biométrico a diversas pruebas utilizando bases de datos específicas, que sacarían a la luz la existencia de casi cualquier problema que pudiera haber.

¿Quieres saber más?
¡Hablemos!

Rellena este formulario y ponte en contacto con nuestro equipo

PRUÉBALO
Facial Parking Access

Simplify entry, save time, and manage your stadium parking more efficiently.

Quick Facial Parking Access

Enter the parking area in under 1 second with facial recognition technology.

Stress-Free Experience

Simplify the ticket purchase process and enable attendees to enjoy a hands-free experience throughout their stadium stay.

Enhanced Security

Elevate your parking security for peace of mind.

Ticketing Facial

Protege tu estadio con nuestra plataforma completa de verificación de identidad, que incluye verificación biométrica y de documentos, fuentes de datos confiables y detección de fraudes.

Verificación de identidad instantánea

Verifica la identidad de tus asistentes de forma remota en menos de 1 minuto.

Comodidad excepcional

Simplifica el proceso de compra de entradas y permite a los asistentes disfrutar de una experiencia sin contacto durante su estancia en el estadio.

Máxima seguridad

Mejora la seguridad del proceso de compra, eliminando la posibilidad de fraude, reventa y acceso no autorizado.

Título del popup

Lorem fistrum por la gloria de mi madre esse jarl aliqua llevame al sircoo. De la pradera ullamco qué dise usteer está la cosa muy malar.