¿Cómo cumplir el RGPD si manejas datos biométricos?
Luis Alberto Nieto
SECURITY SOLUTIONS MANAGER | Security Systems Engineer | Master's Degree in Fire Protection | Certified Private Security Director | Consulting & Business Risk | Innovation and Technology |
Si tienes la intención de instalar algún método de identificación en tu organización que vaya a requerir de la captura de datos biométricos, bien para controlar el acceso a una empresa, bien para proceder a la identificación del personal autorizado para garantizar el acceso o bien para seguir un control de presencia en el centro de trabajo, te recomiendo seguir leyendo este artículo donde explicaré todo lo que necesitas saber antes de aplicar estas técnicas biométricas en tu organización.
¿Son los datos biométricos datos personales?
Los datos biométricos tiene el mismo tratamiento que otros datos personales como pueden ser nombres o correos electrónicos para le lay española. Cuando rellenamos un formulario para solicitar el alta de un fichero en la AEPD hay un apartado que se centra más estrictamente en este tema.
Un archivo con datos biométricos puede ser de gran valor para cualquier delincuente debido a que un ojo o una huella dactilar no puede ser sustituida por lo que las medidas de seguridad para estos datos tiene que reforzarse.
A lo largo del articulo veremos cómo cumplir la nueva ley de protección de datos en el caso de utilizar datos biométricos.
¿Qué son los datos biométricos?
Los datos biométricos sirven para el reconocimiento de personas de acuerdo a sus características fisiológicas o según sus conductas. Es un método automático que se usa para identificar a un usuario, tras haber realizado un análisis previo de sus huellas dactilares, geometría de la mano, retina o iris del ojo, imagen facial , etc... y haber procedido a su registro para su posterior identificación.
Tipos de datos biométricos
El dato biométrico que vamos a recabar de un posible usuario puede ser de tres tipos:
- Universal, cuando el dato exista en todas las personas
- Único, cuando se distinga en cada persona
- Permanente, cuando se mantenga a lo largo del tiempo
Hay varias formas de identificar a un usuario, bien siguiendo sus rasgos físicos o bien mediante sus comportamientos o sus conductas.
Vamos a analizarlos desde una perspectiva general:
Huella dactilar
Es el dato biométrico más usado, y actualmente muy asimilado por gran mayoría de las empresas y usuarios. La huella dactilar además tiene una tasa muy alta de precisión ( la tasa de precisión se encuentra en función de la tecnologías que seleccionemos tal y como hemos hablado en artículos anteriores)
Hay dos métodos generalmente para recoger las huellas dactilares:
- “Basado en minucias”, que consiste en identificar formas de la huella dactilar y su posición dentro de la misma
- “Basado en correlación”, que analiza la huella dactilar de forma global.
Reconocimiento del iris
Este reconocimiento se realiza a través de la captura una fotografía al ojo, mediante la cual se obtienen los detalles del iris.
Suele ser efectivo a la hora de identificar al usuario ya que la información que se almacena en el iris no varía.
Reconocimiento de la geometría de la mano
De una imagen en 3-D de la mano del trabajador, vamos a determinar todos los detalles posibles, como por ejemplo la longitud, curvatura y grosor de los dedos, las medidas de la mano y su estructura ósea.
Puede no resultar muy fiable ya que si el usuario sufre lesiones en la zona, la identificación puede verse afectada.
Reconocimiento de retina
Se realiza a través de un escáner de la retina mediante una cámara de infrarrojos.
Los patrones son únicos en cada usuario y no varían.
Reconocimiento vascular
Este patrón es interno y es el estudio de la geometría vascular del dedo o de las muñecas.
Reconocimiento de firma
Se analiza la firma del usuario:
- por comparación simple (parecido entre dos firmas)
- por verificación dinámica (se estudia la forma y velocidad).
Reconocimiento de escrito
Se realiza a través de un reconocimiento óptico de los caracteres por medio de un software determinado. Hay dos tipos, el estático y el dinámico.
Reconocimiento de voz
Se usan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación del usuario.
Deben tenerse en cuenta que pueden influir factores externos como es el ruido de fondo.
Reconocimiento de escritura de teclado
Consiste en medir:
- La fuerza con la que el usuario teclea,
- El tiempo de pulsación
- El plazo que transcurre entre dos pulsaciones de teclado.
Reconocimiento de la forma de andar
Se analiza la forma de caminar del trabajador mediante el uso de almohadillas especiales en el suelo y una cámara de alta resolución. Lo que va a medir esta cámara de alta definición es la distribución del peso, la velocidad de pasos y el estilo de caminar.
Otras
También hay otros reconocimientos para identificar a un usuario como lo son el estudio de la palma de la mano, la forma de las orejas, el ADN, la piel…
Reconocimiento facial
El reconocimiento facial es un sistema de identificación que permite reconocer a una persona por los rasgos de su cara. Se basa en el empleo de un algoritmo que analiza las facciones del rostro del individuo y las compara con el resto de personas incluidas en la base de datos.
¿Son considerados datos sensibles por el RGPD?
Con la antigua LOPD los datos biométricos eran considerados un dato de carácter personal simple o básico, estaban equiparados a los datos como números de teléfonos o direcciones de correos.
El reglamento europeo de protección de datos entiende que los datos biométricos deben ser considerados y tratados como datos de carácter sensible. Esto quiere decir que debemos cumplir unos requisitos para tratar dichos datos:
- Recabar el consentimiento explícito de los trabajadores en un documento donde se especifique claramente con qué finalidad se van a obtener esos datos biométricos
- Realizar una evaluación de impacto sobre estos datos
- Llevar a cabo el registro de actividades de tratamiento.
RGPD y datos biométricos
El Reglamento General de Protección de Datos europeo (RGPD), define a los datos biométricos de la siguiente manera (artículo 4.14).
“Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”
El RGPD, en su artículo 9, eleva estos datos personales a la característica de “Especialmente Protegidos”, por lo que se deberán cumplir con una serie de requisitos para su tratamiento conforme a la normativa:
Consentimiento explícito
El afectado deberá dar su consentimiento explícito al tratamiento de dichos datos, con la finalidad de dicho tratamiento especificada.
Por ejemplo, la empresa que desee instalar un control de acceso mediante el uso de estos datos biometrico deberá hacer firmar a sus empleados un escrito mediante el cual dan su consentimiento al tratamiento de los datos con fines de control de acceso
Evaluación de Impacto
Es obligatoria la realización de una Evaluación de Impacto del sistema que se usará para el tratamiento.
Registro de las actividades de tratamiento
Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad.
Este registro deberá contener como mínimo la siguiente información:
- nombre y los datos de contacto
- responsable
- corresponsable
- representante del responsable
- delegado de protección de datos
- fines del tratamiento
- descripción de las categorías de interesados y de las categorías de datos personales
- categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
- plazos previstos para la supresión de las diferentes categorías de datos
Es importante conocer Si nuestra entidad se encuentra obligada a la elaboración del registro de las actividades de tratamiento y no lo realizamos, tanto el RGPD como el la nueva LOPD lo consideran como infracción grave, por lo que las multas podrán llegar hasta los 20 millones de euros o el 4% de la facturación anual.
Los datos biométricos en la nueva LOPD
Esta pretende clarificar y ampliar ciertos enunciados del RGPD, y en particular en este caso, lo relativo a la aplicación de la medidas de seguridad conforme al riesgo.
Medidas de seguridad
Control de acceso
Hay que destacar que la nueva normativa exige que se guarde un registro de los accesos que se realicen a esta categoría especial de datos que al menos contenga lo siguientes campos:
- Persona que accede a los datos
- Fecha y hora a la que accedió
- Datos a los que se tuvo acceso
Principio de necesidad, idoneidad y proporcionalidad en el tratamiento
Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el trabajador.
El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca deben de exceder los fines del tratamiento autorizado.
El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.
¿Para qué finalidades se van a recabar los datos biométricos?
Las finalidades para las que recogemos datos biométricos son:
Control de presencia
Uno de los motivos más importantes derivado de la nueva reglamentación normativa que obliga al control de presencia de los empleados.
A través del control biometrico y la utilización de aplicaciones especificas para el control de presencia la empresa conocerá a qué hora han llegado los trabajadores y a qué hora se han ido, las horas extraordinarias que han realizado, si han llegado tarde, si han estado de vacaciones y durante cuánto tiempo. Este tipo de soluciones ayudan al cumplimiento de la actual normativa vigente.
Identificación
Resulta mucho más seguro realizar la identificación de un usuario mediante biometria que otras técnicas tales como contraseñas , pin numérico ,teclados, tarjetas, etc...
Control de la información
También podemos hacer uso de estos datos para determinar qué usuarios van a tener acceso a determinadas zonas de alta seguridad o a determinados datos/informacion interna de carácter restringido.
Control de acceso
Permite a los usuarios el acceso al recinto, a zonas restringidas , determinados sectores o departamentos. A través de esta capacidad se establecen criterios de autorización para zonas que requieren diferentes perfiles de seguridad, horarios, etc...
Protección de datos biométricos
Tratar estos datos sensibles por parte de la empresa va a suponer que tengamos unas medidas de seguridad para certificar que se está cumpliendo con el RGPD.
Como responsables del tratamiento la empresa debe de garantizar la privacidad y proteger esos datos de aquellas personas que no estén autorizados para tratarlos. Además de protegerlos de una destrucción o pérdida accidental o ilícita. Las medidas técnicas para tratar estos datos deben ser las siguientes:
- Que se almacenen en plantillas biométricas cuando sea posible
- La información de los datos biométricos se almacene de forma cifrada y si es posible estos datos sean portados por los propios usuarios.
- Es recomendable suprimir los datos biométricos cuando se cumpla el tiempo necesario para el fin por el que fueron recogidos
Además se determina la obligación por parte del responsable del tratamiento de establecer un protocolo de control de acceso donde se registre:
- Qué persona ha accedido a esos datos,
- La fecha y hora en que se accedió y
- Los datos a los que se ha accedido.
Preguntas frecuentes
¿Se puede negar un trabajador a que se traten esos datos?
El tratamiento de estos datos biométricos para el control de acceso, identificación o control de presencia de los trabajadores en el puesto de trabajo, se puede considerar una medida de control y se basa en el artículo 20 del Estatuto de los Trabajadores. Por ello no se requiere el consentimiento expreso del empleado, aunque si se deben limitar solamente a los casos donde sea necesario.
Al tener datos biométricos de los empleados, ¿es necesario un Delegado de protección de datos?
No es necesario. Esta figura solo será necesaria en caso de trabajar con volúmenes de datos a gran escala.
¿Dónde puedo almacenar los datos biométricos?
Los datos biométricos pueden tratarse y almacenarse de diferentes formas. En ocasiones, la información biométrica capturada de una persona se almacena y se trata en bruto, permitiendo reconocer la fuente de la que procede.
Las autoridades de control europeas han manifestado que sería preferible no almacenar estos datos en una base de datos concreta. Sino más bien sólo en un objeto disponible exclusivamente para el usuario. Como una tarjeta con microchip encriptada, un teléfono móvil o una tarjeta bancaria protegida.
En todo caso, resulta recomendable que la información biométrica recabada se procese y almacene de una forma segura.
¿Puedo recabar y tratar siempre que quiera datos biométricos?
No.
Habrá que realizar un juicio de proporcionalidad entre la finalidad perseguida y el medio que pretendo utilizar.
Por ejemplo, sería desproporcionado instalar un sistema que utilizaría la huella de un empleado para poder usar el servicio, en cambio, no sería desproporcionado la instalación de un sistema de tratamiento de datos biométricos para control de entrada y salida de los empleados de determinadas zonas sensibles de la entidad.
¿Es legal instalar en mi organización un control de presencia que utilice la huella dactilar?
Es de hecho este sistema el más generalizado para el tratamiento de estos tipos de datos, el control del cumplimiento por parte de la entidad del horario de los trabajadores así como media de seguridad adicional de acceso a las zonas restringidas.
¿Es la huella dactilar un dato de carácter personal?
Sí.
Como sabemos un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
La huella dactilar, es única para cada persona, por lo que nos permite identificarla, por lo que, atendiéndonos a la definición dada, está claro que es un dato de carácter personal.
¿Y los rasgos faciales?
Sí.
Como hemos dicho anteriormente, si mediante cualquier tipo de información referida a la identidad, ya sea física, fisiológica, económica, cultural, etc; permite identificar a esa persona, es una persona identificable.
Y está claro que, a través de la cara se puede identificar a una persona, por lo que las características físicas de la cara son consideradas datos de carácter personal.
Conclusiones
Espero haber aclarado tus dudas sobre qué son los datos biométricos y como se deben tratar conforme a la nueva regulación.
No obstante, te recomendaría debido a la especial protección que se exige para esta categoría, es importante poder contar desde el inicio del diseño de este tipo de soluciones tecnológicas con especialistas que ademas del asesoramiento técnico pueda tener claro los condicionante legales de cara poder asegurar de inicio el plan de implantación , formación , organización para evitar posibles sanciones , incidencias con personal , reclamaciones judiciales, etc...
Estaré encantado de poder asesorarle y ayudar a que la implantación de este tipo de soluciones de seguridad en su organización sea un rotundo éxito.
FIN
“La SEGURIDAD es lo que distingue a una empresa líder de las demás”