Por Daniel Monastersky, Socio en Data Governance Latam y Director del Centro de Estudios en Ciberseguridad y Protección de Datos (CECIB) de la Universidad del CEMA.
Actualmente la verificación de identidad se ha convertido en un asunto crítico, especialmente en transacciones en línea. Un caso que ha llamado la atención en las últimas semanas es el del Movistar Arena en Buenos Aires, uno de los estadios de espectáculos más modernos, cuya política de privacidad para la compra de entradas incluye un requisito que ha generado debate: la validación de la identidad del usuario a través del Registro Nacional de las Personas (RENAPER).
La política establece que, para garantizar la seguridad de las transacciones, los datos personales del comprador serán confrontados con la base de datos del RENAPER mediante el Sistema de Identidad Digital (SID). Este proceso incluye no solo la verificación de la vigencia del DNI, sino también la posibilidad de usar imágenes de huellas digitales o fotografías de rostros.
Este enfoque plantea preguntas sobre el equilibrio entre la seguridad y la privacidad. Por un lado, la validación busca prevenir fraudes, un problema creciente en las ventas en línea. Por otro, implica compartir datos biométricos sensibles, lo que preocupa a los defensores de la privacidad.
En Argentina, la Ley 25.326 de Protección de Datos Personales es clara: los datos deben ser «adecuados, pertinentes y no excesivos» para su finalidad. La ley también requiere el consentimiento informado del titular para el tratamiento de sus datos. En este caso, Buenos Aires Arena S.A. (BAA) afirma obtener este consentimiento a través de la aceptación de su política de privacidad.
Sin embargo, surge la pregunta: ¿Es realmente necesario y proporcional el uso del Nro. de Trámite y los datos biométricos para la compra de entradas online? La respuesta es simple: no, existen formas más sencillas y menos invasivas de verificar la identidad, como usar el número de DNI junto con un código enviado por SMS o email. Pedir el número de tramite, huellas digitales o fotos del rostro para un trámite tan común como comprar entradas es totalmente excesivo.
El RGPD clasifica los datos biométricos como «categorías especiales de datos personales», otorgándoles una protección reforzada. En Europa, su procesamiento está prohibido salvo en circunstancias específicas, como el consentimiento explícito del titular o un interés público sustancial.
BAA argumenta que los datos utilizados para la validación «serán destruidos una vez verificada la validez del DNI», cumpliendo así con el principio de minimización de datos. No obstante, bajo el RGPD, el mero hecho de procesar estos datos, aunque sea temporalmente, requeriría una justificación sólida.
La compañía también señala que este proceso es «imprescindible» para identificar al titular y asegurar el correcto proceso de identificación. Pero esto plantea otra cuestión: ¿No existen medios menos intrusivos para lograr el mismo fin? En Europa, el RGPD exige que se elija la opción que menos vulnere la privacidad.
En Argentina, donde la ley de protección de datos está siendo revisada para alinearse con estándares internacionales, este caso podría sentar un precedente. ¿Se normalizará el uso de datos biométricos en transacciones cotidianas? ¿Dónde se traza la línea entre la seguridad y la privacidad?
La Agencia de Acceso a la Información Pública de Argentina (AAIP por sus siglas), encargada de velar por la Ley 25.326, tendrá un papel crucial. Como recuerda BAA en su política, este organismo «tiene la atribución de atender las denuncias y reclamos» sobre incumplimientos en protección de datos.
En un mundo donde la identidad digital cobra cada vez más importancia, casos como este nos obligan a reflexionar. La seguridad es fundamental, pero también lo es el derecho a la privacidad. Encontrar el equilibrio adecuado será uno de los grandes desafíos de nuestra era digital.
