Ramón Villot, 'Head of Legal' en Facephi.
Hace tiempo que dejó de parecer ciencia ficción vivir conectados casi de forma permanente. Películas como Matrix lo planteaban como algo lejano, sin embargo, hoy no estamos tan lejos de esa idea. Vivimos hiperconectados y vamos dejando un rastro constante de quiénes somos, qué hacemos y qué nos interesa a través de redes sociales, correos, compras, transferencias o cualquier interacción digital. Al final, casi todo queda registrado y almacenado en ese entorno digital en el que nos movemos cada día.
En este contexto, la identidad digital hace tiempo que dejó de ser solo cosa de tecnología. Nos afecta también a nivel legal, social y personal seamos o no conscientes de ello. De hecho, cada vez usamos más la biometría casi sin pensarlo. Por eso, la gran pregunta ya no es solo si estas herramientas nos hacen la vida más fácil, sino cómo evitamos perder el control de nuestra identidad en un entorno digital cada vez más complejo.
Todo esto abre una reflexión de fondo y lleva a plantear si los rasgos biométricos podrían encajar en fórmulas de protección similares a las de la propiedad intelectual. Dicho de otro modo, ¿es realmente la propiedad el concepto adecuado para proteger lo que una persona es? Sin embargo, para encontrar un punto de equilibrio real entre seguridad jurídica y eficacia operativa, debemos partir de una distinción técnica y conceptual básica ya recogida en el marco europeo.
El Reglamento eIDAS y la normativa de la Autoridad Bancaria Europea definen la biometría como un factor de autenticación inherente, es decir, un atributo físico del cual el sujeto simplemente demuestra su posesión. Mientras que el copyright nace para proteger las obras del intelecto (fruto de una voluntad creativa externa), la biometría pertenece a la esfera de lo que la persona es.
Partiendo de esa definición, intentar encajar la identidad en esquemas de propiedad es forzar una lógica que no termina de funcionar, pues nadie crea su rostro ni diseña su iris. Por eso, aplicar esa categoría a la biometría implica llevar al cuerpo una idea jurídica que nació para otros fines.
El problema es que, al hacerlo, podemos distorsionar el debate y abrir la puerta a una idea especialmente sensible: que los rasgos biológicos de una persona lleguen a tratarse como algo que puede apropiarse o incluso comercializarse.
Frente a esa idea, la identidad soberana plantea un enfoque mucho más razonable en el que sea cada persona quien decida qué datos comparte, en qué momento y con qué finalidad. Es un modelo que encaja con el principio de minimización de datos del RGPD y que, además, evita que el usuario quede reducido a un producto. Dicho de otro modo, la clave está en que la tecnología sirva para dar más control, no para quitarlo.
Desde una perspectiva práctica, debemos considerar que, a diferencia de una contraseña o un certificado digital, los rasgos biométricos no se pueden resetear. Si tratamos la biometría como un activo de propiedad, podríamos incentivar involuntariamente su mercantilización, creando un riesgo permanente para el usuario.
Llegar a ese punto implica que, en el caso de que se comprometan los datos, el daño no sería solo financiero, sino personal. Por eso, la verdadera protección no depende tanto de reconocer una especie de propiedad sobre ellos sino de cómo contar con arquitectura técnica que los proteja y custodie de verdad.
Por eso, la confianza en la identidad digital no puede descansar únicamente en construcciones legales, sino en estándares verificables y mecanismos de supervisión continuada. Referencias como las guías del CCN o las evaluaciones del NIST no son algo accesorio: forman parte de la base que necesita cualquier sistema de identidad digital que aspire a ser seguro, escalable y socialmente legítimo.
Dicho de otro modo, ningún título de propiedad detiene un fraude efectuado por inyección de vídeo deepfake. Lo que realmente protege al usuario son los sistemas avanzados que detienen los Ataques de Presentación (PAD), centrados en prevenir suplantaciones mediante fotos o máscaras y las pruebas de Vida (Liveness) que aseguran la presencia real de la persona en una unidad de acto.
Entonces, ¿cómo podemos realmente proteger nuestra identidad? Asumiendo que el objetivo de fondo es el mismo tanto para los legisladores como para las empresas tecnológicas: proteger al usuario. La respuesta no pasa por intentar encajar conceptos analógicos en realidades digitales, sino por encontrar soluciones distintas pero compatibles entre sí, capaces de responder a esa misma necesidad de protección.
Iniciativas como el DNI Digital en España y el futuro Wallet de Identidad Digital de la Unión Europea (eIDAS 2); u otras como la CURP biométrica (México) o la nueva regulación en Sudáfrica ya están materializando este equilibrio. No obstante, no todos los modelos de identidad digital ni las regulaciones responden a la misma lógica, aunque compartan el objetivo de proteger al usuario.
Mientras en México y Sudáfrica refuerzan la fiabilidad del vínculo identidad-persona desde enfoques más centralizados, iniciativas como el DNI Digital o eIDAS 2, avanzan hacia modelos más descentralizados y orientados al control del usuario. Hablamos de sistemas que permiten demostrar un atributo concreto como, por ejemplo, la mayoría de edad, sin necesidad de relevar su identidad completa ni ceder la propiedad de sus datos.
No son enfoques equivalentes, sino complementarios, y ahí es donde la gobernanza proactiva cobra sentido: garantizar que, independientemente del modelo, la tecnología se implemente con accountability, privacidad desde el diseño y un control real por parte del usuario sobre su identidad.
La pregunta fundamental no es quién es el propietario de un rostro, sino quién tiene el control real sobre su uso. Quién establece cuánto tiempo se conserva esa información. Quién responde cuando el sistema falla. Quién audita los sesgos, los riesgos y las vulnerabilidades. En definitiva, quién garantiza que la identidad digital siga estando al servicio de la persona y no a la inversa.
Por ello, el futuro de la identidad digital debe ser soberano, no propietario. La tecnología, cuando se implementa bajo marcos de gobernanza transparentes y auditables, es la que garantiza que la biometría sea un vector de conveniencia y seguridad, protegiendo la dignidad del usuario de forma mucho más efectiva que cualquier etiqueta jurídica de propiedad.
***Ramón Villot es Legal, Compliance & GRC Director en Facephi.