#4 joder macho. Aquí en la España vaciada solo me piden 5 €

#3 "También se comprobó en los extractos de las últimas 100 bajas de los usuarios que no se había borrado la huella de la reclamante."

#5 el mejor castellano, en Madriz

#53 No. Si es un hash aplicado a datos biométricos no se almacena la huella ni parte de ella. No se puede hacer la operación inversa para obtener ningún aspecto de la huella.

Voy a leer la noticia a ver si me puedo sacar 27.000€ de mi gimnasio, que también va por huella dactilar y no es Metropolitan, es un gimnasio municipal que gestiona una empresa concesionada.

#61 sólo vengo a decir que se agradece bastante leer comentarios tan detallados. Y sin perder la paz interior a pesar de que #53 hable como si los demás fueran gilipollas.

#20 hay sistemas que usan la huella como hash, es decir no tienen tú huella, pero tienen un patrón que detecta que es tu huella.
Como un código hash, con el código puedes confirmar que el fichero es correcto pero no puedes recrear el fichero

Hace unos años, una amiga se apuntó al gimnasio y para entrar era con huella dactilar. Pues bien, le tomaron huellas, llegó el primer día, puso el dedo en el sensor y le salió el mensaje: «Bienvenido, Antonio». Se lo comentó a la de recepción y le contestó que el sensor no funcionaba bien, pero que qué más daba si total la dejaba entrar.

#5 la respuesta del gimnasio fue atacar con laísmos

No sé si la interpretación correcta es la del titular, pero todo viene de que hayan implantado el uso de huellas dactilares para todos de forma obligatoria, incluso para los que ya eran socios con anterioridad, por lo que una socia se quejó de que ella no lo quería, no lo había autorizado, y que le dieron de baja.

No queda claro si en otro caso podrían haberlo hecho, pero me parece que tampoco. También creo que según el algoritmo que usen, realmente no se quedan con la "huella", más bien se extraen rasgos de ella y eso se trata de forma estadística.

#3 ¿Pero tú piensas antes de escribir? ¿Esos "puntos de la huella" qué son, si no son "datos biométricos"?

"También se comprobó en los extractos de las últimas 100 bajas de los usuarios que no se había borrado la huella de la reclamante."
¿no deberían ser 27000€ por cada una de esas 100 personas?

#10 Acabas de hundirme una oportunidad de negocio. Este país no cuida a sus emprendedores.

#12 yo trabajé hace muchos años en un proyecto donde la autentificación se hacía por huella dactilar.

Con muy pocos usuarios dados de alta ya teníamos colisiones. El truco estaba en hacer la captura de huella inicial muy bien (con un buen lector, y desde varios ángulos). Como la captura inicial fuese mala, con solo 5 usuarios ya teníamos colisiones.

#7 Cuenta, que el mio también va por huella

#7 Que le pongan una multa no significa que vayas a ver un duro.

#73 "¿Quien garantiza que no puedes reconstruir la información original (o parte)?"

Un algoritmo hash no es un cifrado, que puede ser reversible. Es un algoritmo de resumen. No existe el proceso contrario. Además, existen las colisiones. Al ser un resumen de tamaño fijo el numero posible de resultados es limitado. Ergo diferentes huellas pueden producir el mismo hash.

en.wikipedia.org/wiki/Hash_collision

#34 estoy seguro. He actualizado el comentario con la RAE.

Sería laísmo si “dar de alta” se utiliza con la persona como objeto indirecto, que no es el caso:
Pero, si se emplea la construcción dar el alta, el complemento de persona es indirecto, siendo el alta el complemento directo; por tanto, en este caso, si el complemento de persona se expresa mediante un pronombre átono de tercera persona, debe usarse le(s): «Todavía [ella] estaba muy débil, no sabía cuándo le darían el alta» (Alfaya Traidor [Esp. 1991]).

#32 esta seguro pero no tiene razon. Se dice darla de baja

#6 eso justamente he pensado yo. Porque la huella te la piden en muchos sitios de este tipo o similares y, yo por lo menos, no tengo el tiempo, las ganas, ni el dinero, como para seguir adelante con algo así....

#3 si tengo los puntos distintivos de la huella de un dedo, puedo crear una huella falsa que contenga los mismos puntos distintivos y pase la verificación. No será exactamente la huella de la persona, ¿pero qué más da? Abrirá las mismas puertas, al menos las de ese mismo sistema, como si fuera esa persona.
Luego habría que ver cómo solucionar la prueba de vida, y si otros sistemas capturan puntos de otra forma, pero cierto riesgo hay.

#62 Habrá que verlo. Yo creo que es una vía de defensa para los del gimnasio. Me da la impresión de que puede que alguien no entienda el concepto de función hash y piensa que se conservan las huellas. Ahora, si las almacenaron realmente las imágenes de la huella, pues muy mal. Pero me parece raro. No creo que sea un sistema que se les ocurriera a ellos...

#73 Que hay ataques contra todo tipo de cifrado, no te lo puedo negar. Y todo es posible. Es posible romper el sistema de seguridad de casi todo, pero no deja de se un problema probabilístico. La seguridad TOTAL no va a existir nunca. Al igual que sales de casa aunque hay accidentes de tráfico. Pero es improbable que se rompan sistemas criptográficos bien diseñados. Y a ver, que respondo por dialogar y charlar sobre el tema, no por discutir a ver quien tiene la razón...

Mi opinión.
¿Qué garantiza que no se puede reconstruir la información original? De entrada la propia función criptográfica que se supone bien diseñada.
¿Quién te dice que no puede usarse para otro sistema que use el mismo algoritmo? Eso es fácil. Se combina cifrado con tu propia clave secreta. Eso hace que sea inútil el hash en otro sistema.

Me he leído las referencias que aporta la AEPD (y el libro solo por encima , necesitaría mucho tiempo para digerir todo eso). Por eso entiendo que la propia AEPD sugiere que "podría ser posible". Nunca hay que ser optimista. OK.

Pero por curiosidad, en los enlaces que aporta se exponen varios ataques posibles y en varios escenarios. En general el escenario "con posibilidades" sería disponer de todos los datos originales. Es decir, te han robado el ordenador entero, con tus datos originales, claves incluidas y con acceso a todo. Bueno. En ese escenario, el hacker también podría dejar pasar al usuario X al gimnasio... Pero bromas aparte lo importante es. ¿Se podría reconstruir una huella parecida que pudiese engañar a otro sistema (por ejemplo, un banco)? Pues teniendo acceso a muchos datos originales (y con un hash no vale, porque también hay un montón de ruido aleatorio introducido en vectores para dificultar eso) incluyendo datos, claves, matrices de transformación, etc... y con mucho trabajo, pues ya lo dice la AEPD: "podría ser posible".

En cualquier caso, muy interesante el tema. No por el papel de la AEPD que es una trivialidad, más bien por los enlaces que aporta.

Saludos!

Jod... Y perdón por el tocho.

En Forus, también te lo solicitan.

#33 darla y ofrecerle.

Muchas veces caemos en la hipercorrección. Tenemos tanto miedo a caer en el laísmo que nos vamos al leísmo.
Un ejemplo típico es con el "dequeísmo" por miedo a usar mal el "de que" nunca ponemos el de delante de que cayendo en incorrecciones.

#10 Si, si, lo tengo claro. Normalmente suele haber una indemnización y una multa, donde la segunda es mayor que la primera. Si es solo multa, pues entonces ya no. Es para abogadas cañeras.

#24 Pues entonces nada. Además, me consta que no es obligatorio. Que se puede ir con el DNI si uno no quiere la huella, aunque la inmensa mayoría van por huella.

#73 Pues hay que darte la razón según el punto 12 del documento que enlazas, donde dice:
Para añadir seguridad al tratamiento de la información biométrica, es recomendable eliminar el patrón biométrico del que se ha obtenido el "hash" o "biohash". Sin embargo, hay estudios que demuestran que el hash puede ser reversible, es decir, podría ser posible obtener el patrón biométrico original, sobre todo si se vulnera el secreto de la clave utilizada para generar el "hash".

#18 darle y ofrecerle.

#28 ¿estás seguro?

cvc.cervantes.es/foros/leer_asunto1.asp?vCodigo=48140

#15 Estos comentarios los cojo con pinzas. Es como decir que no distinguir entre la z y la s es digno de alguien que no tenga ni la ESO. En muchas zonas del norte se usa mucho laísmo porque ha sido usado así durante generaciones.

Y con esto no intento justificar que un periodista escriba así de mal, que quede claro.

#40 Lo que es grave es deducir que por hacer un laísmo no sabes distinguir CD Y CI.

#89 De acuerdo, pero poco tiene que ver con ser analfabeto como decían por ahí o con no saber distinguir CD y CI.

#17 y algunos del ayuntamiento de Madrid que gestiona una empresa externa.

Hasta quitaron la huella en 2020 al reabrir tras el confinamiento y bastaba la tarjeta de acceso.

CC #6 yo estoy apuntado a uno y nos sale a 20€ por barba con el bono familiar

#12 Eso depende del algoritmo que usen, pero por lo que estudie en su momento que era un sistema bastante rudimentario (era uno de los primeros enfoques de identificación por huella) era muy probable que hubiera ese tipo de falsos positivos. Por una parte, el sistema tiene que tener flexibilidad porque un día pones el dedo de una forma, o cada lector capta datos diferentes, etc. Mientras más personas haya en el sistema es más probable que coincida con alguna por casualidad. De hecho las concidencias iban por grado de fiabilidad, el sistema daba una puntuación (por ejemplo de 0 a 100%), y alguien decidía que a lo mejor con un 80% vale, si lo subes a 95% es más fiable, pero lo mismo te toca intentarlo alguna vez un par de veces. Y si lo subes a 99% seguramente no entra nadie.

Y mientras más personas haya en el sistema es más probable que haya alguna coincidencia. Y eso es un problema común a casi cualquier sistema parecido. Una cosa es que tu digas quien eres y el sistema lo verifique (solo comprueba tu dato), y otra cosa es que por tu dato biométrico te busquen y te validen. (tiene que comprobarte con todos).

#1 Si no se quedan con la huella no les deberían multar, al menos no por ese motivo. La mayoría de estos sistemas no usan datos biométricos, sino que cogen unos puntos de la huella y con eso vale, pero no pueden reproducir la huella que es lo que está prohibido.

#33 Pues vas de listo y te has columpiado, se dice darla de alta, darla de baja. Lo siento
cc #30

#19 cogelo con pinzas porque el que no distingue entre complemento directo e indirecto es #15. Que un leista se meta con un periodista tiene cojones

#20 Pero yo entiendo que no es lo mismo un hash (como hace iPhone, guarda los puntos pero no puede reproducir tu cara) a que se guarde la huella como en la policía, por poner un ejemplo.

#5 Estas seguro? la segunda (ofrecerla) si es un laismo, pero la primera creo que no.

#38 Anda toma: www.rae.es/dpd/alta

#36 Pues yo lo hago de manera consciente. Ante la duda, antes leista que loista.

#49 No. Eso está resuelto por funciones criptográficas. No hay puntos distintivos ni nada que defina a la huella almacenada en el ordenador. (Bueno, a lo mejor en este caso lo hicieron mal...)

#111 Sí de cuerdo, está claro que debe tratarse como tales... como se trataría un hash de contraseñas que daría acceso a tu cuenta y datos privados (teléfono). El El hash de datos biométricos por sus propiedades en teoría es más fácil crear una colisión y dar acceso ... que insisto no es igual que recuperar el origen. Si se sabe la clave 'salt' del hash.. (como el paper) es como obtener una contraseña .. que es la misma contraseña para todos los accesos.

#12 A lo mejor tu amiga era trans

#73 un hash criptográfico es lo que es . la AEPD pueda sacar lo que quiera... para que sea recuperable.. significará que usaron algo como un pseudo-hash chapucero .. no tiene más vuelta.. Si me dijeras que encuentran colisiones o algo similar.. pero recuperar la huella.. no guardaron un hash.. han guardado la huella al revés

#134 Una cosa, algo que no discuto es lo que diga el reglamento, si el reglamento dijese que las iniciales son un dato biométrico, pues lo serán. Ninguno de mis comentarios va sobre eso, eso sí, el que haya una dogma, jurisprudencia, convenio, etc, por suerte ahora no significa que no se pueda comentar.

De hecho, como ya dije creo que la AEPD simplemente es garantista, y también creo que va un poco desfazada, pero es lo que hay. Nunca me meto en tautologías sobre si la legislación vigente es la legislación vigente. No aporta nada.

#7 Las sanciones de la LOPD no suponen indemnización para el denunciante... si quieres sacar tajada tienes que ir al juzgado.

#53 depende de cómo esté implementando el acceso... pero lo que dice #48 es correcto si el terminal de lectura sólo retorna un hash el sistema no almacena datos biométricos porque un hash no es reservsible.. el problema parece que sí almacenaban esos datos

#76 Si ya te lo han dicho, esos puntos no son datos biométricos porque no se puede reproducir la huella. En el ejemplo del gimnasio han debido coger datos biométricos, pero yo no hablaba de este caso en concreto. No hay nada que discutir.

#15 Mucha gente del norte sabe perfectamente distinguir CI de CD.
Pero, muchas veces, el laísmo aporta más información (quién) y más resistencia al ruido.

En el castellano antiguo y en los escritores clásicos encontrarás muchos laísmos.

Me da igual lo que diga la RAE. Muchas veces dice idioteces, como lo de cederrón.

#117 No te pongas así hombre, no es para tanto, haya paz.

#22 No, no lo era, a no ser que hiciese la transición antes de los cinco años.

#18 darle a la alta. O a la baja. O a la mediana. A la que se deje vaya.

#8 La AEPD viene a decir que si hay un sistema más sencillo de identificación, sin datos biométricos, debes usarlo en detrimento de la huella, reconocimiento facial, etc.

Todo ello salvo que la finalidad de la actividad requiera de unas medidas de seguridad en la identificación altas, en cuyo caso hay que hacer una evaluación de impacto en la protección de datos (EIPD) en la que se pueda justificar que el tratamiento de los datos biométricos es proporcional a la finalidad pretendida.

Ej. El reconocimiento facial en un control de fronteras está perfectamente justificado. También lo estaría en un laboratorio con riesgo biológico. La obligatoriedad para identificarte con ese sistema en un gimnasio, no.

#52 Yo supuse que los lectores del gimnasio eran bastante malos.

#1 Los gimnasios del VivaGYM también piden la huella dactilar para acceder.

#51 transantonio.es/

#70 Totalmente de acuerdo. Leer contestaciones tranquilas e informadas ante una meada fuera de tiesto da gusto.

#13 Eurofitness.

#35 ok, gracias por la corrección.

El tema es que yo no soy periodista, podría permitirme esos fallos

#23: He estado y es una agua muy buena.
Y los bocatas de calamares de cierto establecimiento cercano a Atocha son un manjar a un precio no muy elevado, lo que pasa es eso, que como es algo accesible para muchas personas, no se le da el aprecio merecido.

#39: Si escribes en madrileño es perfectamente valido.

#21 bueno, ahora al menos hay un precedente

EN el cliente en el que curro siguen pidiendo la huella para fichar. Y todavía no saben qué van a hacer.

#18 Sip, exactamente.

#4 Por eso no voy al gimnasio

No porque me muera de pereza

#42 cuando das dinero lo que das es billetes, monedas, eso es el complemento directo. Cuando das el alta no das nada, el que recibe la accion es la persona

#4 algo innecesario totalmente pero cool

#5 el primero es correcto, el segundo no.

Pregunta: los 27.000 euros, ¿los paga el Metropolitan a la AEPD o a la demandante?

Es que si es lo segundo, igual es una buena pista de cómo conseguir un dinerillo, ¿no?

#71 aedp. Seguro
Se les ocurrió a ellos eso desde la primera implantación de la lopd

#19 Por mucho que haya dialectos del castellano laístas, en el estándard (que es lo que se usa al escribir) el laísmo es incorrecto.

#16 72€ al año y puedo usar todas las instalaciones municipales (gimnasios, y piscinas bien equipados y mantenidos) cuando quiera en la zona más turística de las Baleares. Y aún así hay muchísima gente que prefiere ir a gimnasios privados pagando muchísimo más.

#93 Analfabeto no, pero se supone que un periodista debe escribir correctamente.

#101 Y en cualquier caso, si ya han conseguido acceso a todo, claves incluidas, ya estás jodido. También tienen acceso a los expedientes, direcciones, DNI, cuentas, historiales médicos, etc... (por decir algo). Lo de reconstruir la huella va a ser lo de menos.

#7 gofit?

#37 Darla de alta y darla dinero? o Darle dinero?

#74 En Cantabria suena perfecto :-).

#13 En el mío no es obligatorio aunque si no das tu huella tienes que pedir que te abra alguien cada vez que vas

Cuando alguien denuncia estos casos, y hay una multa… no sr lleva nada de ese dinero? Estaría bien que la gente que denuncia y hay una multa, por lo menos se llevara el 50% libre de impuestos. Así la gente se animaría mas a denunciar.

#18 "darla de baja como socia en lugar de ofrecerle otra alternativa" es la forma correcta.

#75 Yo no he quedado en evidencia. Si crees que así ha sido, te reto a que ofrezcas algún argumento que desacredite lo afirmado por mí mismo o por la AEPD. No te será difícil, si tan "especialista" eres .

#95 ¿Cómo que no se puede identificar a una persona? Si precisamente el propósito de ese hash es identificar a una persona... Piensa un poco antes de escribir, especialista!!!

#99 gracias por el tocho, que es muy conciso y razonable. Estoy 100% de acuerdo. Y añado:
¿Cómo garantizas que la misma clave que usas para generar el hash no se usa en otro sistema? Efectivamente... No hay un sistema 100% seguro. Pero la clave aquí, es que se trata de datos biométricos atendiendo a la definición legal de los mismos, y la interpretación de la AEPD no deja lugar a dudas, por mucho que sean seguros. Por tanto, para gestionarlos, hay que atenerse a lo que dice la ley al respecto.
Por poner un ejemplo, es como si me hacen una ficha de cliente en el banco, en formato físico, y me dicen que la van a guardar en una caja fuerte bajo 100.000 medidas de seguridad, alarmas, vigilado 24 h poe guardias jurado, etc. Eso no es una excusa para que no me informen y me den a firmar el puto formulario de la LOPD.
Pongo en copia a #98 para que se entere. Y no... Eso que dices no es la definición de lo que son "datos personales".

#109 lo que te estoy diciendo yo es que es irrelevante que el sistema no "reconstruya" la huella...Son "datos biométricos" según la definición legal deeste término, y tal como ha aclarado la AEPD. Da igual el algoritmo que utilices o lo seguro que sea el sistema.

#108 es que da igual que sea recuperable o no (nadie te va puede garantizar 100% que no sea recuperable, al menos, una parte de los datos originales). Son datos biométricos atendiendo a la definición legal de lo que es un "dato biométrico" y hay que tratarlos como tales. Que estos datos se custodien con seguridad y confidencialidad no invalida lo anterior.

#112 menuda bobada sueltas sin mayor pudor... Sí que puedes identificar de manera unívoca a una persona... De hecho, precisamente para eso se almacena esa información. Existe un tratamiento con medios técnicos específicos que utiliza esta información para comprobar la coincidencia con una huella en concreto (bien sea para verificar o para identificar), así que concurren los elementos necesarios para considerar que hay un tratamiento de categorías especiales de datos según lo indicado en el RGPD.
Que no puedas reconstruir la huella completa, es irrelevante, al igual que no puedes reconstruir un rostro o un nombre, a partir de únicamente el número de DNI. Pero, al igual que un hash generado a partir de una huella dactilar, se trata de un identificador único al que se le pueden asociar datos personales y atributos en un fichero.
Esto no me lo invento yo, es lo que dice exactamente la AEPD en sus guías... Mientras, tú vas pretendiendo dar lecciones sobre lo que revisa este organismo o no, cuando es evidente que ni tienes ni puta idea, ni te has molestado en informarte. Curioso, cuando esto cuando te autocalificas como "especialista"... Harías un curso de CCC, supongo...
Por mi parte he acabado aquí... puedes leer la documentación publicada por la AEPD, que está fácilmente accesible (hay una guía específica sobre este tema, y gran número de resoluciones publicadas), que hay que tener cojones para decir que a la aAEPD esto le da igual porque "no pueden reconstruir la huella". Entérate y deja el rollo patatero.

#115 no mezclo nada... La AEPD lo deja clarito. Más bien eres tú quien no quiere entenderlo... y eso que eres "especialista"...
Venga por ahí, que no das para más.

#114 Otro que no se entera... a mí no me tienes que explicar lo que es un hash. ¿Y cómo que no hay ninguna información de la huella en un hash, si ese hash se utiliza precisamente para comprobar la coincidencia con otra huella... Es que si negamos lo básico, mal vamos. Igual tienes que aprender tú, o pensar un poquito... no es tan difícil.

Pero es que, además, no puedes garantizar totalmente que no se puede recuperar -aunque sea de una manera muy limitada- parte de la información original.
Hay estudios que demuestran que el hash puede ser reversible, es decir, podría ser posible obtener el patrón biométrico original, sobre todo si
se vulnera el secreto de la clave utilizada para generar el hash (link.springer.com/article/10.1186/s13634-016-0396-1#Sec5)

Pero nada hombre... supongo que tú eres uno de esos expertos que se cree que tiene en su mano la seguridad informática absoluta... otro Dunning-Kruger, como los gañanes que votan negativo a un comentario veraz y en tono normal...

#120 me refiero a #73 que es un comentario en tono normal que ha sido negativizado.

Otra cosa es como te contesto a ti, que no te enteras, e intentas negar la evidencia en mis narices... Bastante calma he tenido.

#122 con que lo piense yo es suficiente