Por Ramón Villot, Legal, Compliance & GRC Director
El debate actual sobre la posibilidad de aplicar marcos de propiedad intelectual o «copyright» a los rasgos biométricos responde a una preocupación legítima: la necesidad de que el individuo mantenga el control sobre su identidad en un entorno digital cada vez más complejo. Sin embargo, para encontrar un punto de encuentro que satisfaga tanto la seguridad jurídica como la eficacia operativa, es necesario analizar si las leyes de propiedad son el instrumento más adecuado o si, por el contrario, la respuesta reside en una soberanía técnica fundamentada en arquitecturas de confianza.
La naturaleza de lo inherente: identidad frente a creación
El consenso debe partir de una distinción técnica fundamental ya recogida en el marco europeo. El Reglamento eIDAS y la normativa de la Autoridad Bancaria Europea definen la biometría como un «factor de autenticación inherente», es decir, un atributo físico del cual el sujeto simplemente demuestra su posesión. Mientras que el copyright nace para proteger las obras del intelecto (fruto de una voluntad creativa externa), la biometría pertenece a la esfera de lo que la persona «es».
Intentar encajar la identidad en esquemas de propiedad es forzar una lógica que no aplica, pues nadie «crea» su rostro ni «diseña» su iris. En lugar de tratar el cuerpo como un activo comercializable, el enfoque de la identidad soberana permite que el usuario decida, de forma modular y contextual, qué atributos comparte y para qué fines. Este modelo, alineado con el principio de minimización de datos del RGPD, evita que el sujeto se convierta en un producto y asegura que la tecnología funcione como una herramienta de libertad.
El riesgo sistémico de la «Llave Maestra» inmutable
Desde una perspectiva práctica, debemos considerar que, a diferencia de una contraseña o un certificado digital, los rasgos biométricos no se pueden «resetear». Si tratamos la biometría como un activo de propiedad, podríamos incentivar involuntariamente su mercantilización, creando un riesgo permanente para el interesado.
Convertir los rasgos biológicos en una suerte de «llave maestra» comercializable implica que, ante un eventual compromiso del dato, el daño no sería solo financiero, sino existencial. Por ello, la verdadera protección no emana de un título de propiedad, sino de la robustez de la arquitectura técnica que custodia esos datos.
Seguridad técnica frente a etiquetas legales
La garantía de seguridad reside en el cumplimiento de estándares internacionales y certificaciones, como las guías del CCN o las evaluaciones del NIST. La verdadera defensa contra el fraude no es legalista, sino tecnológica. Ningún «título de propiedad» detiene una inyección de vídeo deepfake; lo que realmente protege al usuario son los sistemas avanzados de:
● Detección de Ataques de Presentación (PAD): Para prevenir suplantaciones mediante fotos o máscaras.
● Pruebas de Vida (Liveness): Que aseguran la presencia real de la persona en una «unidad de acto».
Hacia un modelo de Gobernanza Proactiva
El camino hacia un consenso sólido pasa por reconocer que el objetivo de protección es compartido por legisladores y empresas tecnológicas. La solución no reside en una rigidez regulatoria que intente encajar conceptos analógicos en realidades digitales, sino en soluciones que, no siendo iguales, comparten el objetivo de proteger al usuario.
Iniciativas como el DNI Digital en España y el futuro Wallet de Identidad Digital de la Unión Europea (eIDAS 2); u otras como la CURP biométrica (México) o la nueva regulación en Sudáfrica ya están materializando este equilibrio. No obstante, no todos los modelos de identidad digital ni las regulaciones responden a la misma lógica, aunque compartan el objetivo de proteger al usuario.
En México y Sudáfrica refuerzan la fiabilidad del vínculo identidad-persona desde enfoques más centralizados, mientras que las propuestas como el DNI Digital o eIDAS 2, avanzan hacia modelos más descentralizados y orientados al control del usuario, sistemas que permiten la «divulgación selectiva» (el usuario demuestra un atributo, como la mayoría de edad, sin necesidad de revelar su identidad completa ni ceder la propiedad de sus datos.
No son enfoques equivalentes, sino complementarios, y ahí es donde la gobernanza proactiva cobra sentido: garantizar que, independientemente del modelo, la tecnología se implemente con accountability, privacidad desde el diseño y un control real por parte del usuario sobre su identidad., sino en la responsabilidad proactiva (accountability) y en la privacidad desde el diseño
La pregunta fundamental no es quién es el «propietario» de un rostro, sino quién tiene el control real sobre su uso. El futuro de la identidad digital debe ser soberano, no propietario. La tecnología, cuando se implementa bajo marcos de gobernanza transparentes y auditables, es la que garantiza que la biometría sea un vector de conveniencia y seguridad, protegiendo la dignidad del usuario de forma mucho más efectiva que cualquier etiqueta jurídica de propiedad.