El Reglamento General de Protección de Datos (RGPD) impone una serie de límites específicos para el uso de datos biométricos al considerar que la información que ofrecen es de alto riesgo. Al fin y al cabo, no sólo es capaz de validar la identidad de forma precisa, sino que tiene información única sobre personas físicas
|
etiquetas: gimnasio metropolitan , huella digital , protección de datos
DIOS SANTO MIS HOGOS
El segundo (ofrecerla) es incorrecto. Aquí sí tiene función transitiva.
Cc #5
Explicación:
www.rae.es/dpd/alta
2. dar de alta o dar el alta a alguien.
Cuando se utiliza la expresión dar de alta, la persona que recibe el alta médica se expresa mediante un complemento directo, como demuestra el hecho de que sea el sujeto de la construcción pasiva: «Ana fue dada de alta por el médico» (Aguilera Caricia [Méx. 1983]); por lo tanto, si este complemento se expresa mediante un pronombre átono de tercera persona, deben usarse las formas lo(s), la(s): «Cuando la dieron de alta, su padre se consagró a su cuidado» (Quintero Danza [Ven. 1991]).
Como un código hash, con el código puedes confirmar que el fichero es correcto pero no puedes recrear el fichero
No queda claro si en otro caso podrían haberlo hecho, pero me parece que tampoco. También creo que según el algoritmo que usen, realmente no se quedan con la "huella", más bien se extraen rasgos de ella y eso se trata de forma estadística.
¿no deberían ser 27000€ por cada una de esas 100 personas?
Con muy pocos usuarios dados de alta ya teníamos colisiones. El truco estaba en hacer la captura de huella inicial muy bien (con un buen lector, y desde varios ángulos). Como la captura inicial fuese mala, con solo 5 usuarios ya teníamos colisiones.
Un algoritmo hash no es un cifrado, que puede ser reversible. Es un algoritmo de resumen. No existe el proceso contrario. Además, existen las colisiones. Al ser un resumen de tamaño fijo el numero posible de resultados es limitado. Ergo diferentes huellas pueden producir el mismo hash.
en.wikipedia.org/wiki/Hash_collision
Sería laísmo si “dar de alta” se utiliza con la persona como objeto indirecto, que no es el caso:
Pero, si se emplea la construcción dar el alta, el complemento de persona es indirecto, siendo el alta el complemento directo; por tanto, en este caso, si el complemento de persona se expresa mediante un pronombre átono de tercera persona, debe usarse le(s): «Todavía [ella] estaba muy débil, no sabía cuándo le darían el alta» (Alfaya Traidor [Esp. 1991]).
Luego habría que ver cómo solucionar la prueba de vida, y si otros sistemas capturan puntos de otra forma, pero cierto riesgo hay.
Mi opinión.
¿Qué garantiza que no se puede reconstruir la información original? De entrada la propia función criptográfica que se supone bien diseñada.
¿Quién te dice que no puede usarse para otro sistema que use el mismo algoritmo? Eso es fácil. Se combina cifrado con tu propia clave secreta. Eso hace que sea inútil el hash en otro sistema.
Me he leído las referencias que aporta la AEPD (y el libro solo por encima , necesitaría mucho tiempo para digerir todo eso). Por eso entiendo que la propia AEPD sugiere que "podría ser posible". Nunca hay que ser optimista. OK.
Pero por curiosidad, en los enlaces que aporta se exponen varios ataques posibles y en varios escenarios. En general el escenario "con posibilidades" sería disponer de todos los datos originales. Es decir, te han robado el ordenador entero, con tus datos originales, claves incluidas y con acceso a todo. Bueno. En ese escenario, el hacker también podría dejar pasar al usuario X al gimnasio... Pero bromas aparte lo importante es. ¿Se podría reconstruir una huella parecida que pudiese engañar a otro sistema (por ejemplo, un banco)? Pues teniendo acceso a muchos datos originales (y con un hash no vale, porque también hay un montón de ruido aleatorio introducido en vectores para dificultar eso) incluyendo datos, claves, matrices de transformación, etc... y con mucho trabajo, pues ya lo dice la AEPD: "podría ser posible".
En cualquier caso, muy interesante el tema. No por el papel de la AEPD que es una trivialidad, más bien por los enlaces que aporta.
Saludos!
Jod... Y perdón por el tocho.
Muchas veces caemos en la hipercorrección. Tenemos tanto miedo a caer en el laísmo que nos vamos al leísmo.
Un ejemplo típico es con el "dequeísmo" por miedo a usar mal el "de que" nunca ponemos el de delante de que cayendo en incorrecciones.
#24 Pues entonces nada. Además, me consta que no es obligatorio. Que se puede ir con el DNI si uno no quiere la huella, aunque la inmensa mayoría van por huella.
Para añadir seguridad al tratamiento de la información biométrica, es recomendable eliminar el patrón biométrico del que se ha obtenido el "hash" o "biohash". Sin embargo, hay estudios que demuestran que el hash puede ser reversible, es decir, podría ser posible obtener el patrón biométrico original, sobre todo si se vulnera el secreto de la clave utilizada para generar el "hash".
cvc.cervantes.es/foros/leer_asunto1.asp?vCodigo=48140
Y con esto no intento justificar que un periodista escriba así de mal, que quede claro.
Hasta quitaron la huella en 2020 al reabrir tras el confinamiento y bastaba la tarjeta de acceso.
CC #6 yo estoy apuntado a uno y nos sale a 20€ por barba con el bono familiar
Y mientras más personas haya en el sistema es más probable que haya alguna coincidencia. Y eso es un problema común a casi cualquier sistema parecido. Una cosa es que tu digas quien eres y el sistema lo verifique (solo comprueba tu dato), y otra cosa es que por tu dato biométrico te busquen y te validen. (tiene que comprobarte con todos).
cc #30
De hecho, como ya dije creo que la AEPD simplemente es garantista, y también creo que va un poco desfazada, pero es lo que hay. Nunca me meto en tautologías sobre si la legislación vigente es la legislación vigente. No aporta nada.
Pero, muchas veces, el laísmo aporta más información (quién) y más resistencia al ruido.
En el castellano antiguo y en los escritores clásicos encontrarás muchos laísmos.
Me da igual lo que diga la RAE. Muchas veces dice idioteces, como lo de cederrón.
Todo ello salvo que la finalidad de la actividad requiera de unas medidas de seguridad en la identificación altas, en cuyo caso hay que hacer una evaluación de impacto en la protección de datos (EIPD) en la que se pueda justificar que el tratamiento de los datos biométricos es proporcional a la finalidad pretendida.
Ej. El reconocimiento facial en un control de fronteras está perfectamente justificado. También lo estaría en un laboratorio con riesgo biológico. La obligatoriedad para identificarte con ese sistema en un gimnasio, no.
El tema es que yo no soy periodista, podría permitirme esos fallos
Y los bocatas de calamares de cierto establecimiento cercano a Atocha son un manjar a un precio no muy elevado, lo que pasa es eso, que como es algo accesible para muchas personas, no se le da el aprecio merecido.
No porque me muera de pereza
Es que si es lo segundo, igual es una buena pista de cómo conseguir un dinerillo, ¿no?
Se les ocurrió a ellos eso desde la primera implantación de la lopd
¿Cómo garantizas que la misma clave que usas para generar el hash no se usa en otro sistema? Efectivamente... No hay un sistema 100% seguro. Pero la clave aquí, es que se trata de datos biométricos atendiendo a la definición legal de los mismos, y la interpretación de la AEPD no deja lugar a dudas, por mucho que sean seguros. Por tanto, para gestionarlos, hay que atenerse a lo que dice la ley al respecto.
Por poner un ejemplo, es como si me hacen una ficha de cliente en el banco, en formato físico, y me dicen que la van a guardar en una caja fuerte bajo 100.000 medidas de seguridad, alarmas, vigilado 24 h poe guardias jurado, etc. Eso no es una excusa para que no me informen y me den a firmar el puto formulario de la LOPD.
Pongo en copia a #98 para que se entere. Y no... Eso que dices no es la definición de lo que son "datos personales".
Que no puedas reconstruir la huella completa, es irrelevante, al igual que no puedes reconstruir un rostro o un nombre, a partir de únicamente el número de DNI. Pero, al igual que un hash generado a partir de una huella dactilar, se trata de un identificador único al que se le pueden asociar datos personales y atributos en un fichero.
Esto no me lo invento yo, es lo que dice exactamente la AEPD en sus guías... Mientras, tú vas pretendiendo dar lecciones sobre lo que revisa este organismo o no, cuando es evidente que ni tienes ni puta idea, ni te has molestado en informarte. Curioso, cuando esto cuando te autocalificas como "especialista"... Harías un curso de CCC, supongo...
Por mi parte he acabado aquí... puedes leer la documentación publicada por la AEPD, que está fácilmente accesible (hay una guía específica sobre este tema, y gran número de resoluciones publicadas), que hay que tener cojones para decir que a la aAEPD esto le da igual porque "no pueden reconstruir la huella". Entérate y deja el rollo patatero.
Venga por ahí, que no das para más.
Pero es que, además, no puedes garantizar totalmente que no se puede recuperar -aunque sea de una manera muy limitada- parte de la información original.
Hay estudios que demuestran que el hash puede ser reversible, es decir, podría ser posible obtener el patrón biométrico original, sobre todo si
se vulnera el secreto de la clave utilizada para generar el hash (link.springer.com/article/10.1186/s13634-016-0396-1#Sec5)
Pero nada hombre... supongo que tú eres uno de esos expertos que se cree que tiene en su mano la seguridad informática absoluta... otro Dunning-Kruger, como los gañanes que votan negativo a un comentario veraz y en tono normal...
Otra cosa es como te contesto a ti, que no te enteras, e intentas negar la evidencia en mis narices... Bastante calma he tenido.