Ya que son muchos los malentendidos que se presentan en el uso de datos biométricos, la Agencia Española de Protección de Datos publicó una nota técnica al respecto, con un total de 14 errores comunes.
Desde que se implantó la obligación de llevar a cabo el control de jornada laboral, se ha extendido el uso de sistemas de control de acceso a las instalaciones mediante huella dactilar o reconocimiento facial. Esto supone, inequívocamente, el tratamiento de datos biométricos, y por ello, la realización del necesario Análisis de Riesgos y la obligatoria Evaluación de Impacto. Redactamos este artículo con la intención de comunicar el contenido de la nota técnica (y otros aspectos relacionados) de la forma más sencilla y transparente posible.
¿Qué son los datos biométricos?
Tanto los sistemas de huella dactilar como los de medición facial siempre suponen el tratamiento de datos biométricos.
Según el Instituto Nacional de Ciberseguridad de España (dependiente del Ministerio de Economía y Empresa), independientemente de que se utilice una muestra total o únicamente se emplee el cálculo de la distancia entre puntos clave de la huella o la cara. Tampoco afecta al concepto de dato biométrico que se almacenen los datos ‘en bruto’ o mediante un algoritmo.
La utilización de los datos biométricos
La utilización de los datos biométricos está restringido a determinadas excepciones y requisitos. Estos datos pueden revelar, entre otras;
- informaciones sobre la etnia,
- el género de las personas,
- aspectos psicosociales o,
- de salud.
Todos estos datos (tanto los biométricos como los raciales, de género, psicosociales o de salud) se consideran especialmente sensibles en el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), por lo que gozan de una protección añadida. De hecho, desde la perspectiva legal, su uso está prohibido, salvo que se presente alguna de las circunstancias recogidas en el artículo 9 del RGPD.
La seguridad de la identificación biométrica
La identificación biométrica no es la más segura, especialmente cuando nos referimos a los sistemas de reconocimiento facial.
Existen diversos sistemas que permiten engañar a los dispositivos, y no requieren grandes conocimientos ni grandes medios económicos. En esta línea, la obtención de los datos biométricos por parte de terceros es relativamente sencilla, ya sea registrándolos de algún modo (p.ej., fotografía u obtención de la huella en cualquier superficie que hayamos tocado) o bien interviniendo física y/o digitalmente el dispositivo en el que se encuentra almacenado el dato biométrico (p.ej., robando o accediendo en remoto al aparato).
Además, una brecha de seguridad (acceso a los datos por parte de un tercero no autorizado), supone que no se pueda cancelar la información biométrica. En general, nuestra huella dactilar y nuestra cara siempre es la misma; así que el procedimiento para recuperar el acceso no sería tan sencillo como cambiar de contraseña o de tarjeta (a no ser que se utilice el sistema fuerte de doble autenticación, que siempre recomendamos).
Finalmente, el algoritmo o el hash con el que se codifica la información biométrica puede permitir la reconstrucción del ‘original’ (aunque sea parcialmente); de forma que otro sistema biométrico (la gran mayoría son interoperables o compatibles técnicamente) reconozca a la misma persona (p.ej., la huella dactilar reconstruida, obtenida del dispositivo de control de acceso al trabajo, podría ser utilizada para acceder a la aplicación móvil de nuestra entidad bancaria).
A modo de conclusión, recordamos que es imprescindible realizar el pertinente Análisis de Riesgos y Evaluación de Impacto para verificar la legitimidad, necesidad, proporcionalidad e idoneidad del uso de datos biométricos por parte de su empresa. No dude en contactarnos para que llevemos a cabo esta exigencia legal y pueda estar tranquilo al respecto.
En Lladó Grup Consultor un equipo de profesionales en derecho digital está a tu disposición, para cualquier duda o aclaración que puedas tener sobre el Tratamiento de datos en la empresa.
