Lectura 4:00 min
El IMSS quiere tus datos biométricos para reconocimiento facial
La intención es que los usuarios de la app del IMSS se identifiquen con las características físicas de su cara —que se consideran datos personales sensibles por su condición única e irremplazable— como medida para evitar fraudes y suplantación de identidad.
El Instituto Mexicano del Seguro Social (IMSS) utilizará tecnología de reconocimiento facial en su aplicación móvil IMSS Digital. La intención es que los usuarios de la app del IMSS se identifiquen con las características físicas de su cara —que se consideran datos personales sensibles por su condición única e irremplazable— como medida para evitar fraudes y suplantación de identidad.
Con la cámara de los teléfonos, el software de la aplicación móvil del IMSS comparará en tiempo real el rostro de los usuarios con el retrato de su credencial para votar del INE: sólo en caso de coincidir permitirá el acceso del usuario a los 16 servicios a distancia que se ofrecen en IMSS Digital. El proyecto es parte del plan del IMSS de crear una cédula digital en salud.
En una primera etapa, el reconocimiento facial del IMSS tendrá casi 800,000 usuarios, quienes deberán aportar fotografías de su rostro y otros elementos de identificación personal, como la credencial del INE, a una base de datos administrada por el IMSS.
Se usará información sensible —la biometría facial— para acceder a otra información sensible —el expediente médico y otros datos relacionados con la salud de las personas—, de acuerdo con la convocatoria de licitación pública nacional electrónica LA-50-GYR-050GYR019-N-26-2024 para la contratación del “Servicio de derecho de uso del componente de enrolamiento y verificación biométrica facial para el Instituto Mexicano del Seguro Social” disponible en Compranet.
El sistema del IMSS funcionará de la misma manera que el Fan ID, el pase de biometría facial obligatorio para ingresar a los estadios de futbol de la Liga MX, desarrollado por la compañía privada Incode Technologies, Inc. Los usuarios del IMSS deberán registrarse en la nueva base de datos permitiendo que la aplicación escanee su rostro y su credencial del INE, con todos los datos personales que incluye esta identificación oficial.
La credencial del INE, además de los datos personales tradicionales como nombre, apellidos paterno y materno, sexo, fecha de nacimiento y CURP (Clave Única de Registro de Población), contiene otras informaciones relacionadas con la clave de elector, el domicilio y las secciones electorales del titular de la credencial. El software del IMSS será capaz de revisar la vigencia y de inspeccionar los códigos OCR (de Reconocimiento Óptico de Caracteres) y CIC (de Cédula de Identificación de la Credencial) de la credencial.
“El enrolamiento facial deberá permitir al IMSS generar un mapa en 3D del rostro de cada uno de sus derechohabientes y/o usuarios en un formato que le permita ejecutar posteriores validaciones de identidad”, dice la convocatoria de licitación, que no tiene un precio máximo de referencia.
Seis compañías se interesaron en la licitación: Acerta Computación Aplicada, S.A. de C.V., Biometría Aplicada, S.A. de C.V., Cosmocolor, S.A. de C.V., Distribuidora Imparables, S.A. de C.V., Greytech Soluciones, S.A. de C.V. y Seguridata Privada, S.A. de C.V. El fallo se conocerá hacia el 20 de marzo de 2024, de acuerdo con el calendario del proyecto de compra pública.
Antes de imponer el sistema de reconocimiento facial a sus usuarios, el IMSS deberá cumplir con un trámite legal imprescindible: la evaluación de impacto a la privacidad o de impacto en la protección de datos personales, una herramienta de análisis previo a la implementación de un tratamiento de datos sensibles o que pueda representar un alto riesgo de afectación, como es el caso.
El Inai, la agencia de privacidad de México, será responsable de revisar es evaluación a partir de preguntas clave sobre si el sistema es legítimo, idóneo, necesario o proporcional o si contempla el consentimiento libre y real de los ciudadanos. Por ejemplo: ¿es necesaria una tecnología de reconocimiento facial para solicitar una cita en el IMSS, consultar el número de seguridad social o pedir un “reporte personalizado de cotización al IMSS”? ¿Es proporcional utilizar información biométrica —única e irremplazable y cuya pérdida es irrecuperable— para descargar una constancia de no derechohabiencia o localizar un módulo de atención respiratoria?