Home Veridas
Contacta
Agendar demo
Contacta

Volver a Recursos

/Evaluación de impacto y protección de datos biométricos: cómo superar los bloqueos legales en proyectos de identidad digital

Picture of Juan Fernando C. Bulgarelli

Juan Fernando C. Bulgarelli

Global PR & Content Marketing Manager
Evaluacion de impacto y proteccion de datos biometricos
  • Artículo

Contenido actualizado en agosto de 2025

Por qué la biometría genera dudas legales (y por qué no debería)

Muchos proyectos de onboarding digital con biometría se enfrentan al mismo freno: dudas o cuestiones de ámbito legal. Argumentos como «esto trata datos biométricos, así que no es legal» detienen implementaciones que ya estaban validadas a nivel técnico y de negocio.

Pero, en realidad, el uso de biometría facial con consentimiento y garantías es legal tanto en Europa como en España. La normativa europea es clara y permite el uso de biometría siempre que se respeten las garantías adecuadas. Para avanzar con confianza en estos proyectos, es clave apoyarse en una Evaluación de Impacto en Protección de Datos (EIPD), que permite analizar los riesgos, definir las medidas necesarias y justificar el tratamiento de forma estructurada y conforme al RGPD.

¿Por qué una foto del DNI (ni otros métodos de autenticación) no son suficientes?

En procesos en remoto, una imagen del documento de identidad no garantiza que quien lo presenta sea realmente su titular. Pero tampoco lo hacen otros métodos basados únicamente en factores de posesión (como un token) o conocimiento (como una contraseña). Todos ellos pueden ser fácilmente compartidos, robados o utilizados por terceros.

Lo que marca la diferencia es el factor de inherencia: aquello que somos. La biometría introduce este nivel de verificación con garantías técnicas y legales que ningún otro método puede igualar.

Así lo recoge el Centro Criptológico Nacional (CCN) en su informe técnico, al destacar que los mecanismos basados en Referencias Biométricas Renovables (RBRs) “dificultan la falsificación en comparación con otros métodos de autenticación”, ofreciendo una “capa adicional de seguridad”.

Textualmente, «el factor de inherencia propio de la biometría ofrece garantías de que la identidad es real, presentando ventajas significativas en comparación con factores de posesión o conocimiento que podrían ser cedidos o sustraídos por terceros».

 

La propia Agencia Española de Protección de Datos (AEPD) ha respaldado recientemente esta visión, señalando que “el tratamiento biométrico permite verificar con mayor fiabilidad que otros mecanismos quién accede a los espacios protegidos, evita suplantaciones de identidad y permite restringir accesos no autorizados”.

Además, no podemos olvidar que muchos fraudes se producen por manipulación o falsificación del documento en sí. Por eso, el enfoque más seguro y eficaz no es elegir entre uno u otro método, sino combinarlos: verificación documental + biometría con prueba de vida. Este enfoque por capas (multilayered approach) es el que permite afrontar el fraude con mayor robustez y alinearse con los estándares más exigentes de protección de datos e identidad.

¿Es legal el uso de la autenticación biométrica en onboarding o verificación de edad?

Sí. El Reglamento General de Protección de Datos (RGPD) permite el uso de datos biométricos si se cuenta con el consentimiento explícito del usuario y se cumplen el resto de requisitos establecidos en la normativa. En España, la Ley Orgánica 3/2018 confirma que el consentimiento es base jurídica adecuada para estos tratamientos.

El Reglamento Europeo de Inteligencia Artificial (RIA), aprobado en julio de 2024, establece que los sistemas biométricos que requieren participación activa del usuario (como una selfie con prueba de vida) son de «riesgo bajo o inexistente».

El papel clave de la Evaluación de Impacto en Protección de Datos (EIPD)

La Evaluación de Impacto en Protección de Datos es una obligación legal cuando se tratan datos sensibles como los biométricos (artículo 35 del RGPD). Pero lejos de ser una barrera, es una herramienta que permite justificar el tratamiento y avanzar con el proyecto.

Sin biometría, una empresa no puede tener la certeza de quién está realmente al otro lado de la pantalla. El DNI, por sí solo, es un elemento fácilmente suplantable: puede ser robado, manipulado o utilizado por menores. La biometría introduce el factor inherencia, garantizando la identidad real, y aleja a las organizaciones de riesgos graves como el fraude de identidad y las sanciones regulatorias por no cumplir con los deberes de verificación de identidad. Este riesgo es especialmente alto en sectores regulados como banca, seguros, juego online o comercio electrónico.

Una buena EIPD permite:

  • Evaluar y demostrar la necesidad del tratamiento biométrico frente a otras alternativas.
  • Garantizar la proporcionalidad y legitimidad.
  • Identificar riesgos potenciales que pudieran darse durante el tratamiento.
  • Documentar las medidas técnicas y organizativas aplicadas para mitigar dichos riesgos.
  • Aportar evidencia frente a auditorías, áreas legales o agencias de protección de datos.

Elementos que debe incluir una EIPD completa

Una buena Evaluación de Impacto no tiene por qué ser un obstáculo. Al contrario: es una guía estructurada que permite al área legal identificar los riesgos reales, aplicar las garantías adecuadas y documentar el cumplimiento de forma sólida. Para ello, basta con cubrir siete elementos clave, de forma clara y directa:

  1. Qué tratamiento se va a realizar y por qué.
  2. Qué riesgos pueden existir y cómo se van a mitigar.
  3. Por qué este tratamiento es necesario y proporcionado frente a otras opciones.
  4. Qué base jurídica lo sustenta (por ejemplo, consentimiento o interés público).
  5. Cómo se cumplen los principios del RGPD (minimización, finalidad, transparencia…).
  6. Qué medidas de seguridad se aplican (a nivel técnico y organizativo).

Desde Veridas, se facilita al responsable del tratamiento el detalle técnico y funcional de la solución y de las medidas de seguridad implantadas para que pueda abordar cada uno de estos puntos sin complejidad añadida.

Tecnologías que evolucionan, riesgos que se reducen: el valor de diseñar con seguridad desde el inicio

Durante años, las tecnologías biométricas heredadas presentaban limitaciones relevantes en términos de reversibilidad, revocabilidad o control efectivo sobre el dato. Esto condicionó su uso y generó reservas legítimas desde el ámbito legal y regulatorio.

Hoy, esos riesgos pueden abordarse con soluciones desarrolladas desde el diseño para cumplir con los principios de seguridad y privacidad por defecto. Tecnologías como las Referencias Biométricas Renovables (RBRs) permiten aplicar un enfoque más granular, seguro y controlado del tratamiento. Incorporan, desde su propia arquitectura, mecanismos como la no interoperabilidad, la regeneración ante sospechas de compromiso o la imposibilidad de reconstrucción del rasgo físico original.

Es importante recordar que no todos los tratamientos biométricos generan el mismo nivel de impacto ni requieren idénticas medidas de protección. La proporcionalidad del sistema debe evaluarse en función de la finalidad concreta, las medidas implantadas y la inexistencia de alternativas menos intrusivas igual de eficaces. Justamente aquí es donde la Evaluación de Impacto en Protección de Datos (EIPD) se convierte en una herramienta clave.

Una EIPD sólida no solo demuestra la necesidad y legitimidad del tratamiento, sino que permite reflejar de forma transparente las mejoras tecnológicas respecto a opciones anteriores, así como las garantías técnicas y organizativas aplicadas. Este nivel de detalle es determinante para lograr una valoración positiva desde el área legal o por parte de las autoridades competentes.

En contextos especialmente sensibles, como la protección de infraestructuras críticas o el control de accesos a espacios restringidos, la capacidad de justificar, comparar y documentar el tratamiento biométrico adquiere aún más relevancia. Así lo ha reconocido recientemente la Agencia Española de Protección de Datos (AEPD) en su dictamen sobre un sistema de autenticación biométrica en instalaciones de seguridad. En él se subraya que tecnologías bien diseñadas pueden ser más proporcionales y menos intrusivas, siempre que se argumenten adecuadamente en la Evaluación de Impacto y se apliquen medidas específicas desde el diseño.

La evolución tecnológica no solo permite mitigar riesgos: también ofrece al responsable del tratamiento herramientas para argumentar el cumplimiento desde una lógica de responsabilidad proactiva.

RBRs: biometría que cumple desde el diseño

Veridas ha desarrollado una tecnología de autenticación biométrica basada en Referencias Biométricas Renovables (RBRs), alineada desde su concepción con el RGPD y el RIA:

  • Irreversibles: no permiten reconstruir el rostro.
  • Revocables: se pueden regenerar si se comprometen.
  • No interoperables: solo funcionan en el sistema que las genera.
    Múltiples: permiten generar una referencia distinta por cada uso.

Estas propiedades están reconocidas por el Centro Criptológico Nacional como garantías clave de seguridad y privacidad.

¿Cómo te acompaña Veridas en este proceso?

Desde el inicio del proyecto:

  • Te proporcionamos documentación técnica y legal para la EIPD.
  • Diseñamos la solución pensando en la privacidad desde el diseño.

Porque el reto no es legal: es técnico, interpretativo y de confianza. Y ahí es donde Veridas marca la diferencia.

Preguntas frecuentes sobre legalidad y biometría

¿Es obligatorio hacer una Evaluación de Impacto para usar biometría?

Sí, según el artículo 35 del RGPD, siempre que se traten datos biométricos es necesario realizar una EIPD.

¿Puedo usar la biometría solo con el consentimiento del usuario?

Sí, siempre que se cumplan las condiciones del RGPD, la LOPDGDD y el RIA. El consentimiento debe ser libre, explícito, inequívoco, informado y verificable, garantizando que el usuario entiende y acepta el uso de sus datos biométricos.

¿Qué diferencia hay entre biometría tradicional y RBRs?

Las RBRs no almacenan rasgos físicos reconocibles ni se pueden revertir, lo que las hace mucho más seguras y respetuosas con la privacidad.

¿Qué documentación necesito presentar al departamento legal o de protección de datos?

Veridas proporciona fichas técnicas, matrices de cumplimiento y descripciones del sistema que puedes incluir directamente en la EIPD.

¿Quieres avanzar en tu proyecto de identidad digital sin bloqueos legales?

Habla con nuestro equipo legal y de soluciones para acompañarte en el diseño de una verificación biométrica legal, segura y efectiva.

En este artículo encontrarás...

¿Necesitas ayuda?

Soy Edu Gozalo, Consultor de Identidad Digital en Veridas. Si necesitas hablar con nuestro equipo, reserva una reunión.
Agendar

/Descubre más ideas y recursos

Todos los Recursos

comprobante de domicilio
/SegurosServicios financierosTelcos

Comprobante de domicilio, qué es, tipos y cómo obtenerlo

que es ibeta
/SegurosServicios financierosTelcos

¿Qué es iBeta y por qué son importantes los test biométricos?

Veridas garantiza la conectividad en su celular a más de 100 millones de mexicanos
/Telcos

Veridas facilita la transición normativa en México y asegura la conectividad en su celular a 100 millones de usuarios

fraude del CEO
/Corporativo

Fraude del CEO: Qué es y cómo prevenir los ataques de suplantación

cumplimiento normativo México
/Servicios financieros

Qué es el cumplimiento normativo y compliance en México

Lineamientos para la Identificación de Líneas Telefónicas Móviles en México
/Telcos

México eleva el estándar con los Lineamientos para la Identificación de Líneas Telefónicas Móviles: Veridas, el primero en garantizar el éxito en su implementación

PRUÉBALO
Solicita una demo
Facial Parking Access

Simplify entry, save time, and manage your stadium parking more efficiently.

Quick Facial Parking Access

Enter the parking area in under 1 second with facial recognition technology.

Stress-Free Experience

Simplify the ticket purchase process and enable attendees to enjoy a hands-free experience throughout their stadium stay.

Enhanced Security

Elevate your parking security for peace of mind.

Ticketing Facial

Protege tu estadio con nuestra plataforma completa de verificación de identidad, que incluye verificación biométrica y de documentos, fuentes de datos confiables y detección de fraudes.

Verificación de identidad instantánea

Verifica la identidad de tus asistentes de forma remota en menos de 1 minuto.

Comodidad excepcional

Simplifica el proceso de compra de entradas y permite a los asistentes disfrutar de una experiencia sin contacto durante su estancia en el estadio.

Máxima seguridad

Mejora la seguridad del proceso de compra, eliminando la posibilidad de fraude, reventa y acceso no autorizado.

Saber más
Título del popup

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.