El desarrollo acelerado de la biometría avanzada y de las neurotecnologías está trastocando las categorías clásicas del cumplimiento normativo.
Ya no se trata únicamente de gestionar correctamente datos personales “externos” como el nombre, la dirección o la conducta de consumo, sino de tratar información relacionada con la identidad física más íntima (v.gr. rasgos faciales, huellas, iris, voz, patrones de comportamiento) y, en el caso de las neurotecnologías, con la propia actividad cerebral y los estados mentales de las personas.
Esta evolución impacta de lleno en el núcleo de los derechos fundamentales como pueden ser el derecho a la dignidad, a la intimidad, a la protección de datos, a la libertad ideológica, y a la libertad de pensamiento, a la no discriminación, y a la integridad física y moral.
En el entorno europeo, el Reglamento (UE) 2016/679 (RGPD) considera los datos biométricos utilizados para la identificación como “categoría especial”, sometida a un régimen de prohibición general salvo excepciones tasadas, lo que ya introduce un nivel de exigencia muy alto para cualquier organización que pretenda usarlos de manera intensiva.
EL REGLAMENTO DE IA CONTEMPLA LA IDENTIFICACIÓN BIOMÉTRICA
A esto se suma un nuevo nivel normativo con el Reglamento de Inteligencia Artificial de la UE (AI Act, Reglamento (UE) 2024/1689), que crea una capa adicional de obligaciones para sistemas de IA de alto riesgo, entre los que se encuentra la identificación biométrica remota en espacios accesibles al público.
El AI Act distingue entre verificación biométrica (confirmar que alguien es quien dice ser, por ejemplo, para acceder a una cuenta) y sistemas de identificación remota, que permiten rastrear e identificar personas dentro de grandes grupos, llegando a prohibir con carácter general el uso en tiempo real de sistemas de identificación biométrica remota en espacios públicos con fines de seguridad, salvo supuestos excepcionales y muy regulados en el ámbito policial.
Esta superposición de marcos (v.gr. protección de datos, IA, productos sanitarios, seguridad y salud laboral, derechos humanos) hace que el Compliance en biometría y neurotecnología no pueda limitarse a un enfoque puramente técnico o de “cumplimiento mínimo”, sino que exija una gobernanza transversal, una ética tecnológica robusta, y una capacidad real de anticipar impactos, que todavía no han sido del todo legislados.
En paralelo, surge el concepto de NeuroRights, o derechos neurocognitivos, impulsado por la comunidad científica y por organismos internacionales.
Países como Chile han sido pioneros al introducir en su Constitución referencias específicas a la protección de la integridad física y mental frente a tecnologías, que procesan o interfieren la actividad cerebral, e incluso tribunales superiores han reconocido la necesidad de proteger jurídicamente la privacidad mental frente a empresas que comercializan dispositivos de neuromonitorización.
UNESCO HA ESTABLECIDO ESTÁNDARES ÉTICOS EN NEUROTECNOLOGÍA
La UNESCO, por su parte, ha aprobado estándares globales de ética en neurotecnología, que introducen de manera explícita la noción de “datos neuronales” y recomiendan salvaguardas reforzadas para la privacidad mental, la libertad de pensamiento, y la protección frente a usos intrusivos, como el marketing durante el sueño, o la explotación intensiva de neurodatos de consumo.
Todo ello apunta a que, para los programas de Compliance, la biometría y las neurotecnologías deben tratarse como un frente regulatorio dinámico, de alto riesgo y con fuerte contenido ético, donde la organización no puede limitarse a lo que la ley positiva dice hoy, sino que debe adelantarse tanto a futuras normas, como a expectativas sociales y de mercado.
El reconocimiento facial masivo, especialmente, cuando se despliega de manera remota, automatizada y en espacios accesibles al público, es quizá el ejemplo más visible de cómo la tecnología puede convertir entornos antes anónimos en espacios de trazabilidad absoluta.
Un sistema que capta los rostros de todas las personas que pasan frente a una cámara, los compara en tiempo real con bases de datos de referencia, y etiqueta a cada individuo con una identidad o un perfil, transforma radicalmente la relación entre individuos, empresas y poderes públicos.
Desde la perspectiva de los derechos fundamentales, implica que desplazarse por una calle, acceder a un centro comercial, participar en una manifestación, o acudir a un acto sindical o político deja de ser una acción esencialmente anónima para convertirse en un rastro digital permanente, susceptible de ser analizado, correlacionado, y utilizado con finalidades muy distintas a las que la persona tenía en mente, cuando simplemente “pasaba por allí”.
RIESGOS MÚLTIPLES, VISTO DESDE EL COMPLIANCE
Desde el punto de vista del Compliance, los riesgos son múltiples y se retroalimentan entre sí.
En primer lugar, el reconocimiento facial masivo pone en tensión el principio de minimización de datos, ya que en vez de tratar únicamente datos de quienes realmente necesitan ser identificados por una razón objetiva y proporcionada, la tecnología invita a escanear indiscriminadamente a todos los presentes, “por si acaso”.
Esto conduce a una lógica de vigilancia generalizada difícil de justificar jurídicamente, sobre todo en el sector privado, donde los fines de seguridad, prevención de fraude, o marketing deben ponderarse frente a los derechos de las personas afectadas.
En segundo lugar, existen riesgos documentados de sesgos y errores en muchos sistemas de reconocimiento facial, que funcionan peor con determinadas etnias, géneros, o grupos de edad, y que pueden generar falsos positivos y falsos negativos con consecuencias serias como pueden ser, por ejemplo, la denegación de acceso a un servicio, hasta una identificación errónea en un contexto policial o de seguridad privada.
Cuando esto sucede de manera sistemática contra ciertos colectivos, no solo estamos ante un problema técnico, sino ante un riesgo de discriminación estructural, que el programa de Compliance debe identificar, medir y corregir.
Además, el reconocimiento facial masivo abre la puerta a usos secundarios difícilmente controlables.
Imágenes captadas inicialmente para seguridad pueden acabar siendo reutilizadas para análisis de comportamiento, segmentación comercial, scoring reputacional, o incluso, vigilancia laboral encubierta, sin una base jurídica clara, y sin que exista unai información suficiente a los interesados.
ALTO RIESGO
Esta deriva funcional, conocida como “function creep”, es uno de los grandes enemigos de la «accountability», en donde si la organización no tiene un inventario claro de finalidades, bases legales, perfiles y destinatarios, el sistema se convierte en una especie de “plataforma de datos” a disposición de quien tenga capacidades técnicas para explotarla.
En ese escenario, las cláusulas informativas pierden sentido, y los derechos de acceso, oposición o supresión se vuelven de difícil articulación, porque la persona ni siquiera sabe en cuántos contextos está siendo usada su imagen.
En el entorno europeo, el AI Act considera de alto riesgo los sistemas de identificación biométrica remota, sobre todo cuando se utilizan en espacios de acceso público, y con fines de control de acceso a servicios esenciales, empleo, educación, migración o justicia.
Para los usos en tiempo real por fuerzas de seguridad en espacios públicos, el Reglamento establece, además, una prohibición casi general, con excepciones muy tasadas y sujetas a controles específicos, y evaluaciones de impacto en derechos fundamentales.
Esto significa que, incluso cuando la organización no sea una autoridad pública, el mero hecho de que una tecnología que utiliza pueda solaparse con escenarios prohibidos o de alto riesgo, obliga al Compliance a adoptar un enfoque de máxima precaución.
No basta con decir “no somos policía”; si el sistema tiene capacidad técnica para realizar identificación remota en tiempo real, será necesario documentar por qué se limita su uso a escenarios permitidos, cómo se configuran los umbrales de identificación, qué salvaguardas se han introducido para evitar desvíos de finalidad, y cómo se documenta esta diligencia.
Un programa de Compliance serio en este ámbito debería exigir evaluaciones de impacto en protección de datos (EIPD) y, cada vez más, evaluaciones de impacto en derechos fundamentales, que abarquen no solo la privacidad, sino también la libertad de expresión, reunión y asociación, la no discriminación y la dignidad en el trabajo.
Estas evaluaciones deben analizar escenarios concretos, entre los que se encuentran el control de accesos a edificios corporativos, vídeovigilancia en tiendas y sucursales, reconocimiento de clientes VIP, sistemas de prevención de fraude en cajeros o apps bancarias, uso de reconocimiento facial para pagos sin tarjeta, etc.
POR QUÉ LA IDENTIFICACIÓN BIOMÉTRICA
En cada caso, habrá que justificar por qué la identificación biométrica es necesaria y proporcionada, qué alternativa menos intrusiva se ha descartado, y por qué, qué tasas de error presenta el sistema y cómo se gestionan, quién tiene acceso a los datos biométricos y por cuánto tiempo, y qué mecanismos eficaces dispone la persona para ejercer sus derechos, y oponerse al tratamiento si la base jurídica lo permite.
Solo así puede el Compliance transformar la tentación tecnológica de “verlo todo, siempre y en todas partes” en un conjunto acotado de usos legítimos, transparentes y controlados.
Los neurodatos constituyen un salto cualitativo respecto de otras formas de datos personales.
No describen únicamente lo que hacemos, o cómo nos movemos, sino que se refieren a la actividad de nuestro sistema nervioso, especialmente del cerebro, y permiten inferir, con mayor o menor precisión, estados de atención, niveles de fatiga, patrones emocionales, preferencias, reacciones a estímulos, e incluso, correlatos de determinadas intenciones o recuerdos.
Los dispositivos como son los cascos de electroencefalografía (EEG) portátiles, cintas o gafas inteligentes, auriculares que miden actividad eléctrica en el cuero cabelludo, o incluso apps que combinan señales fisiológicas y algoritmos de IA, son ya capaces de capturar y procesar grandes volúmenes de neurodatos, a menudo sin que el usuario sea plenamente consciente de lo que se está registrando, ni de las inferencias que pueden derivarse.
PRIVACIDAD MENTAL
Esta realidad ha impulsado el desarrollo del concepto de “privacidad mental”, entendido como el derecho de cada persona a que sus estados mentales no sean objeto de lectura, inferencia o decodificación sin un consentimiento libre, específico e informado, y a que esta información no se utilice con fines de manipulación, discriminación, o explotación comercial desmedida.
Los NeuroRights propuestos por científicos, juristas y organizaciones como la Neurorights Foundation buscan expandir la protección de datos, y los derechos fundamentales hacia este territorio emergente, articulando derechos a la privacidad mental, a la identidad personal, al libre albedrío, al acceso equitativo a la neuroaumentación, y a la protección frente a sesgos algorítmicos basados en neurodatos.
Chile ha sido pionera al incorporar a nivel constitucional obligaciones específicas de proteger la integridad física y mental en el contexto de tecnologías que capturan o manipulan la actividad cerebral, y el Tribunal Supremo chileno ha reconocido en una sentencia reciente el carácter especialmente sensible de los neurodatos generados por un casco comercial, que registra la actividad cerebral, exigiendo medidas reforzadas de protección, y de limitación de su reutilización con fines comerciales.
Para el Compliance, esto significa, que los neurodatos deben ser considerados, como mínimo, datos de categoría especial equiparables a los datos de salud, pero con un enfoque aún más restrictivo, dado que su mal uso no solo puede vulnerar la intimidad, sino alterar la propia percepción de uno mismo, condicionar la toma de decisiones, o revelar información sobre ideología, orientación sexual, estado de salud mental, u otros aspectos especialmente protegidos.
El RGPD no menciona todavía explícitamente los neurodatos, pero su lógica de categorías especiales, y el principio de alta protección de datos sensibles permiten extenderle de forma razonable su régimen más estricto.
La tendencia internacional, reforzada por los estándares éticos de UNESCO y por «charters» europeos sobre neurotecnologías responsables, apunta a introducir requisitos adicionales sobre transparencia en la recogida de neurodatos, limitación de finalidad, prohibición de usos de marketing invasivo, y garantías redobladas de portabilidad y control por parte del usuario.
En la práctica, el Compliance debe prevenir escenarios especialmente lesivos.
Uno de ellos es el neuro-marketing invasivo, en el que se colocan a los usuarios dispositivos de neuromonitorización mientras ven anuncios, testean productos, o interactúan con plataformas, y se registran reacciones inconscientes para afinar mensajes y diseños, que maximicen el impacto emocional, explotando vulnerabilidades cognitivas sin que la persona sea plenamente consciente de lo que se está haciendo con sus datos.
LÍNEAS DE DEFENSA DEL COMPLIANCE FRENTE A LA NEUROTECNOLOGÍA
Otro escenario de alto riesgo es, la monitorización neurocognitiva en entornos laborales o educativos, donde cascos o bandas “de concentración” prometen medir la atención, detectar distracciones, o evaluar el estrés, pero en realidad introducen una vigilancia del mundo interior. que puede generar efectos psicológicos muy negativos, la sensación de control permanente, y un clima de miedo o de desconfianza.
Un tercer escenario problemático se da cuando se utilizan neurodatos para elaborar perfiles de personalidad, de honestidad, de resiliencia, o de capacidad de adaptación, que se aplican en procesos de selección, de promoción o de despido, con una base científica discutible, y sobre todo con un elevado riesgo de discriminación y pseudociencia.
Ante estos escenarios, un programa de Compliance responsable debería incorporar varias líneas de defensa.
En primer lugar, exigir una justificación muy sólida para cualquier proyecto que implique la recogida de neurodatos, demostrando, que no hay alternativas menos intrusivas, y que el beneficio para la salud, la seguridad, o la investigación científica supera los riesgos para la intimidad mental.
En segundo lugar, reforzar el consentimiento hasta un nivel equivalente al de la experimentación biomédica, con información clara y explícita sobre qué datos se recogen, qué se puede inferir de ellos, qué riesgos de identificación existen, qué usos secundarios están absolutamente prohibidos, y cómo puede retirarse el consentimiento de forma efectiva.
En tercer lugar, prohibir contractualmente, que los proveedores externos reutilicen los neurodatos para fines comerciales, publicitarios o de analítica de negocio sin autorización expresa y específica del titular de los mismos, y establecer mecanismos de auditoría y supervisión que permitan verificar dicha utilización.
Del mismo modo, debe indicarse, que se hace necesario integrar los NeuroRights y la privacidad mental, como categorías explícitas en el mapa de riesgos de cumplimiento, vinculándolas tanto a la protección de datos, como al respeto de los derechos humanos, a la prevención del acoso y de los riesgos psicosociales, y a los propios compromisos ESG de la organización.
«El Compliance en biometría y neurotecnologías no es una mera extensión de la protección de datos, sino un nuevo campo de intervención, que combina la regulación tecnológica, los derechos humanos, y la ética de la innovación».
INTERFACES CEREBRO-MÁQUINA
Las interfaces cerebro-máquina (brain–computer interfaces, BCI) ocupan un lugar central en el debate sobre neurotecnologías, porque materializan la idea de conectar directamente la actividad neuronal con dispositivos externos.
Pueden constituir técnicas invasivas, como los implantes que se insertan en el tejido cerebral para registrar o estimular neuronas concretas, o no invasivas, como los cascos, las bandas, los electrodos superficiales, o los dispositivos integrados en auriculares o en gafas.
Sus aplicaciones abarcan desde el ámbito clínico, donde permiten a pacientes paralizados controlar prótesis o comunicarse, pasando por el tratamiento de enfermedades neurológicas o psiquiátricas, hasta aplicaciones de consumo orientadas al ocio, el entrenamiento cognitivo, la meditación, o la optimización del rendimiento.
También existen proyectos experimentales en el ámbito laboral, industrial o militar, como el control de exoesqueletos, dispositivos en fábricas o drones mediante señales cerebrales.
Desde el prisma regulatorio, las BCIs se sitúan en una intersección compleja entre derecho sanitario, la regulación de productos sanitarios, la protección de datos, la ciberseguridad, la ética biomédica y, en la UE, la regulación de IA.
El Reglamento (UE) 2017/745 sobre productos sanitarios (MDR) establece requisitos muy estrictos de seguridad, eficacia y evaluación clínica para dispositivos médicos, y ha sido complementado por normas específicas, que incluyen dentro de su ámbito a ciertos neurodispositivos no médicos, especialmente aquellos que, aun no teniendo una finalidad terapéutica, modifican la actividad neuronal.
Esto implica que muchas BCIs de consumo, que prometen mejora del bienestar, de la concentración o del rendimiento pueden quedar sometidas a obligaciones de certificación, de ensayos, de vigilancia post comercialización, y de gestión de riesgos, con lo que el Compliance no puede tratarlas como meros gadgets, sino como tecnologías reguladas, que exigen un sistema de gestión de cumplimiento equivalente al de un fabricante de productos sanitarios.
Más allá de la seguridad física y funcional, las BCIs plantean cuestiones de responsabilidad difíciles.
ESCENARIOS DE CONFLICTO
Si un exoesqueleto controlado por señales neuronales provoca un accidente, cabe preguntarse si responde el usuario, por haber movido “mal” su mente; el fabricante del hardware, por defectos de diseño; el desarrollador del software, por errores en los algoritmos de interpretación; el hospital o la clínica que implantó el dispositivo; o la empresa que obliga a su uso en el trabajo.
La atribución de responsabilidad es esencial para el Compliance, porque condiciona los contratos, los seguros, los protocolos de uso, la formación y, en su caso, las cláusulas de limitación de responsabilidad entre los fabricantes, los distribuidores, los profesionales sanitarios, y los clientes corporativos.
A ello se añade una dimensión probatoria: ¿cómo se demuestra en un proceso judicial que un determinado movimiento fue verdaderamente voluntario o estuvo provocado por un fallo del sistema o por una estimulación involuntaria?
Otro eje central es el del consentimiento informado.
En BCIs invasivas, se requiere un consentimiento equiparable al de los ensayos clínicos, con información exhaustiva sobre riesgos quirúrgicos, de funcionamiento, de posibles cambios en la percepción o del estado de ánimo, de seguridad informática, y de posibles usos futuros de los datos generados.
Pero incluso en BCIs no invasivas, cuando están destinadas al consumo masivo, constituye una práctica habitual, la existencia de largas políticas de privacidad y de condiciones generales, aunque en muchas ocasiones resultan claramente insuficientes.
Desde el Compliance, deben explorarse modelos de consentimiento estratificado, interfaces comprensibles, avisos discretos pero efectivos sobre el inicio y el fin de la recogida de neurodatos, y también de mecanismos de revocación tan sencillos como apagar el dispositivo, desconectar un módulo, o desinstalar una aplicación, asegurando que la revocación conlleva la eliminación efectiva de los datos, salvo que una norma de carácter legal exija su conservación en términos muy limitados.
Es previsible, que en los próximos años aparezcan regímenes normativos específicos para neurotecnologías y BCIs, tanto a nivel europeo como internacional.
La labor de organismos como UNESCO, el Consejo de Europa y demás comités científicos europeos apuntan en esa dirección, con propuestas de cartas de derechos de usuarios de neurotecnologías, estándares de diseño ético, criterios de certificación centrados en la protección de la autonomía, y de recomendaciones de prohibición de determinados usos, que sean especialmente intrusivos, como el uso de BCIs para interrogatorios, vigilancia política, o “lectura de pensamientos” en procesos judiciales o laborales.
EL COMPLIANCE DEBE INCORPORAR LOS PRINCIPIOS DE LOS NEURODERECHOS
El Compliance debe anticiparse a esa regulación, incorporando desde ahora principios de NeuroRights, límites éticos, y criterios de proporcionalidad, que permitan, llegado el momento, una transición suave hacia un marco legal más exigente, en lugar de encontrarse con la necesidad de desmantelar productos y servicios ya consolidados, por el hecho de incumplir estándares, que de otro modo podrían haberse previsto.
El ámbito laboral es uno de los terrenos donde la biometría y, en menor medida, ciertas tecnologías neurofisiológicas se están integrando con mayor rapidez, al amparo de argumentos como pueden ser la eficiencia, la seguridad o el bienestar de los ciudadanos.
Sin embargo, la relación de poder asimétrica existente entre la empresa y la persona trabajadora hace, que cualquier tratamiento de datos biométricos o neurofisiológicos con fines laborales, deba analizarse con una manera especialmente intenso desde el ámbito del Compliance.
Los sistemas de fichaje o control por huella dactilar, o de reconocimiento facial, los controles de acceso basados en iris, los «wearables» que miden frecuencia cardiaca, la variabilidad del pulso, o los niveles de estrés, los sensores de fatiga en transportistas, los cascos que detectan somnolencia en operadores de maquinaria pesada, las aplicaciones que monitorizan constantes vitales durante el trabajo remoto, e incluso, los proyectos experimentales de neuromonitorización para medir los niveles de atención en tareas cognitivas, configuran un ecosistema en el que el cuerpo de la persona trabajadora se convierte en un nodo permanente de recogida de datos al servicio de los objetivos corporativos.
La primera cuestión clave es la base jurídica del tratamiento.
En el contexto laboral, el consentimiento no suele ser considerado una base válida, porque la persona trabajadora no está en una posición de verdadera libertad para negarse sin sufrir consecuencias.
Las autoridades de protección de datos europeas han señalado reiteradamente, que el consentimiento en el trabajo suele ser “falso” o forzado, y que, por tanto, debe recurrirse a otras bases como el cumplimiento de obligaciones legales de seguridad y salud, la necesidad para la ejecución del contrato o el interés legítimo, siempre con una ponderación muy estricta, y con salvaguardas reforzadas tratándose de datos biométricos o de salud.
Documentar esta ponderación, y las alternativas menos intrusivas que se han valorado, así como las razones por las que se han descartado, es una obligación material del programa de Compliance, no un mero trámite formal.
En segundo lugar, debe atenderse al impacto psicosocial.
La integración de parámetros biométricos en el trabajo puede fácilmente derivar en hiper vigilancia, en la producción de ansiedad, y/o en un clima de sospecha, especialmente, si los datos recogidos se utilizan para evaluar el rendimiento, iniciar expedientes disciplinarios, o justificar la existencia de despidos, en lugar de centrarse en la prevención de riesgos laborales, o en la mejora de la ergonomía.
Un sistema que monitoriza continuamente el pulso, la sudoración o las expresiones faciales, puede provocar que la persona se sienta constantemente evaluada, incluso en aspectos tan íntimos como su estado emocional.
Esta sensación de invasión puede constituir en sí misma un riesgo psicosocial y, si se combina con presiones, amenazas de sanción, o el uso sesgado de los datos, puede contribuir a situaciones de acoso o de psicoterror laboral.
COORDINACIÓN CON PREVENCIÓN DE RIESGOS LABORALES
El Compliance no puede ignorar esta dimensión, y debe coordinarse con prevención de riesgos laborales, los recursos humanos, y la representación de los trabajadores para asegurar, que cualquier solución biométrica incorpora un análisis de riesgos psicosociales y mecanismos de mitigación.
En tercer lugar, existe un riesgo de discriminación indirecta muy elevado.
Las personas con determinadas patologías cardiacas, neurológicas, o de salud mental, las mujeres embarazadas, las personas mayores, o con diversidad funcional pueden presentar parámetros biométricos distintos de la media, sin que ello implique la existencia de un peor desempeño, ni una menor aptitud para el puesto.
Si la empresa utiliza esos parámetros como indicadores de rendimiento, fiabilidad, “actitud” o compromiso, puede estar generando un sesgo sistemático contra determinados colectivos, con consecuencias jurídicas importantes en materia de igualdad, y de no discriminación.
Además, el uso de biometría para crear perfiles de fiabilidad o “riesgo de absentismo” puede entrar en terrenos muy problemáticos, tanto jurídicamente como desde la ética corporativa, al tratar de predecir comportamientos a partir de datos fisiológicos que, en muchos casos, solo reflejan la respuesta a factores organizativos como pueden ser la sobrecarga de trabajo, la falta de conciliación, o el mal clima laboral.
Todo ello conduce a considerar que la integración de parámetros biométricos en sistemas laborales es determinante para poder evitar la deriva de finalidad.
Es habitual que un sistema se implante con la finalidad declarada de controlar el horario, o de mejorar la seguridad, pero que, una vez disponible, se utilice también para monitorizar pausas, medir la productividad minuto a minuto, o detectar la participación de personas trabajadoras en reuniones, o en actividades de carácter sindical.
Esta expansión silenciosa de usos deteriora la confianza, vulnera principios de finalidad y minimización, y puede dar lugar a infracciones graves, tanto de la normativa de protección de datos, como de la normativa laboral y de la libertad sindical.
Un programa de Compliance sólido debe fijar de manera clara y vinculante las finalidades permitidas, incluir cláusulas de prohibición expresa de usos no autorizados, establecer mecanismos de auditoría independientes, y prever sanciones internas en caso de desvíos, para que no sea posible la explotación oportunista de una infraestructura biométrica ya instalada.
A la vista de lo anterior, un programa de Compliance que aspire a gestionar responsablemente la biometría y las neurotecnologías no puede limitarse a “cumplir el RGPD”, o a obtener certificados técnicos de seguridad.
INVENTARIO EXHAUSTIVO
Debe adoptar un enfoque integral, basado en el riesgo, que incorpore, desde el diseño, criterios de proporcionalidad, necesidades reales de negocio, derechos fundamentales, ética tecnológica, y una anticipación de evoluciones regulatorias.
Esto comienza por un inventario exhaustivo de todos los tratamientos biométricos y neurotecnológicos presentes o proyectados en la organización, identificando para cada uno de ellos la tecnología concreta utilizada, los tipos de datos implicados (v.gr. biométricos faciales, de voz, corporales, neurodatos), las personas afectadas (v.gr. clientes, pacientes, empleados, visitantes, ciudadanos), las finalidades perseguidas, las bases jurídicas invocadas, y los flujos de datos hacia terceros, especialmente, con relación a los proveedores tecnológicos, y las entidades situadas fuera de la UE.
Sobre esa base, el programa de Compliance debe establecer una política corporativa específica para biometría y neurotecnologías, que complemente las políticas generales de protección de datos, de IA, y de seguridad de la información.
Esta política debe fijar principios claros, como el rechazo de prácticas de vigilancia masiva injustificada, la prohibición de utilizar biometría o neurodatos para fines discriminatorios, o de manipulación cognitiva, el compromiso con la transparencia radical en proyectos, que afectan a la intimidad física o mental, la exigencia de EIPD reforzadas, la obligación de consultar al delegado de protección de datos y a los comités de ética en fases tempranas del diseño de proyectos, y la preferencia sistemática por alternativas menos intrusivas, siempre que sean técnicamente viables y razonables desde el punto de vista económico.
La política debe contemplar también mecanismos de gobernanza, asignando responsabilidades claras a la alta dirección, al área de Compliance, al DPO, al CISO, a recursos humanos, a las áreas de negocio, y a los equipos de desarrollo tecnológico, de manera que el control no quede diluido.
Las relaciones con proveedores son otro elemento crítico.
Muchos proyectos de biometría y neurotecnologías se basan en soluciones “llave en mano” proporcionadas por terceros, que pueden alojar datos en la nube, reutilizar modelos entrenados con datos de múltiples clientes, o de reservarse el derecho a utilizar datos para mejorar sus algoritmos.
El programa de Compliance debe reforzar la due diligence en la selección de estos proveedores, exigiendo transparencia sobre el funcionamiento de los sistemas, la documentación de las tasas de error y de los sesgos detectados, la información sobre dónde se almacenan y procesan los datos, y los compromisos contractuales claros sobre la no reutilización de datos para fines ajenos al encargo, la obligación de destrucción o devolución de datos al finalizar la relación, la posibilidad de auditorías externas, y la responsabilidad frente a brechas de seguridad o incumplimientos normativos.
La interacción entre el AI Act, el RGPD y los marcos sectoriales (MDR, normativa laboral, sector financiero, sanitario, educativo, etc.) debe reflejarse en cláusulas específicas, no en fórmulas genéricas.
Igualmente, importante es la dimensión cultural.
Un sistema de Compliance en biometría y neurotecnologías solo será efectivo, si se integra en una cultura organizativa, que valore genuinamente la dignidad de las personas, y la prudencia en el uso de tecnologías invasivas.
Esto exige formación continua y especializada para los distintos colectivos internos, como pueden ser la alta dirección debe comprender los riesgos estratégicos y reputacionales asociadas a un escándalo por uso abusivo de biometría, o por un caso de violación de privacidad mental; los equipos de negocio y marketing deben interiorizar, que no todo lo técnicamente posible es jurídicamente admisible ni éticamente aceptable; los departamentos de recursos humanos y de prevención de riesgos deben entender que la salud psicosocial y la protección de la intimidad corporal y mental, constituyen y representan objetivos tan relevantes, como la prevención de accidentes físicos; y los equipos de TI y data science deben incorporar en su práctica profesional criterios de “privacy by design”, “security by design” y “NeuroRights by design”.
MECANISMOS EFECTIVOS DE CONTROL Y REACCIÓN
Por último, el programa debe prever mecanismos efectivos de control y reacción.
Esto implica establecer indicadores de riesgo específicos (por ejemplo, número de proyectos que implican biometría o neurodatos, número de EIPD realizadas, número de incidentes relacionados con reconocimiento facial o monitorización fisiológica, quejas o denuncias internas sobre usos abusivos, resultados de auditorías de proveedores), incorporar estos indicadores en el cuadro de mando de Compliance, y revisarlos periódicamente con la alta dirección.
También comporta disponer de canales de denuncia, que permitan a empleados, clientes, o usuarios informar de manera confidencial sobre usos indebidos de biometría o de neurotecnologías, con la garantía de la ausencia de represalias, y protocolos claros de investigación y respuesta.
En caso de detectarse un abuso o un incidente grave, el programa debe contemplar medidas correctoras, que pueden ir desde la reconfiguración o limitación de un sistema, pasando por la suspensión temporal o definitiva de su uso, hasta la comunicación a autoridades de protección de datos, sanitarias, laborales o de Compliance, y la reparación efectiva de los daños causados a las personas afectadas.
Todo ello conduce a afirmar, que el Compliance en biometría y neurotecnologías no es una mera extensión de la protección de datos, sino un nuevo campo de intervención, que combina la regulación tecnológica, los derechos humanos, y la ética de la innovación.
La organización, que aspire a utilizar estas herramientas de forma legítima y sostenible, deberá asumir, que su deber de diligencia se extiende ahora también a la protección de la identidad física y mental de las personas, y, que su capacidad de innovar dependerá, cada vez más, de la confianza que sea capaz de generar en la sociedad y en los reguladores respecto del uso que hace de estos poderes tecnológicos inéditos.
