Ja que són molts els malentesos que es presenten en l’ús de dades biomètriques, l’Agència Espanyola de Protecció de Dades va publicar una nota tècnica sobre aquest tema, mb un total de 14 errors comuns.
Des que es va implantar l’obligació de dur a terme el control de jornada laboral, s’ha estès l’ús de sistemes de control d’accés a les instal·lacions mitjançant empremta dactilar o reconeixement facial. Això suposa, inequívocament, el tractament de dades biomètriques, i per això, la realització de la necessària Anàlisi de Riscos i l’obligatòria Avaluació d’Impacte. Redactem aquest article amb la intenció de comunicar el contingut de la nota tècnica (i altres aspectes relacionats) de la forma més senzilla i transparent possible.
Què són les dades biomètriques?
Tant els sistemes d’empremta dactilar com els de mesurament facial sempre suposen el tractament de dades biomètriques.
Segons l’Institut Nacional de Ciberseguretat d’Espanya (dependent del Ministeri d’Economia i Empresa), independentment que s’utilitzi una mostra total o únicament s’empri el càlcul de la distància entre punts clau de la petjada o la cara. Tampoc afecta al concepte de dada biomètrica que s’emmagatzemin les dades ‘en brut’ o mitjançant un algorisme.
L'ús de les dades biomètriques
L’ús de dades biomètriques està restringit a determinades excepcions i requisits. Aquestes dades poden revelar, entre altres;
- informacions sobre l’ètnia,
- el gènere de les persones,
- aspectes psicosocials o,
- de salut.
Totes aquestes dades (tant els biomètrics com els racials, de gènere, psicosocials o de salut) es consideren especialment sensibles en el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), per la qual cosa gaudeixen d’una protecció afegida. De fet, des de la perspectiva legal, el seu ús està prohibit, tret que es presenti alguna de les circumstàncies recollides en l’article 9 del RGPD.
La seguretat de la identificació biomètrica
La identificació biomètrica no és la més segura, especialment quan ens referim als sistemes de reconeixement facial.
Existeixen diversos sistemes que permeten enganyar els dispositius, i no requereixen grans coneixements ni grans mitjans econòmics. En aquesta línia, l’obtenció de les dades biomètriques per part de tercers és relativament senzilla, ja sigui registrant-los d’alguna manera (p. ex., fotografia o obtenció de la petjada en qualsevol superfície que hàgim tocat) o bé intervenint física i/o digitalment el dispositiu en el qual es troba emmagatzemat la dada biomètrica (p. ex., robant o accedint en remot a l’aparell).
A més, una bretxa de seguretat (accés a les dades per part d’un tercer no autoritzat), suposa que no es pugui cancel·lar la informació biomètrica. En general, la nostra empremta dactilar i la nostra cara sempre és la mateixa; així que el procediment per a recuperar l’accés no seria tan senzill com canviar de contrasenya o de targeta (tret que s’utilitzi el sistema fort de doble autenticació, que sempre recomanem).
Finalment, l’algorisme o el hash amb el qual es codifica la informació biomètrica pot permetre la reconstrucció del ‘original’ (encara que sigui parcialment); de manera que un altre sistema biomètric (la gran majoria són interoperables o compatibles tècnicament) reconegui a la mateixa persona (p. ex., l’empremta dactilar reconstruïda, obtinguda del dispositiu de control d’accés al treball, podria ser utilitzada per a accedir a l’aplicació mòbil de la nostra entitat bancària).
A manera de conclusió, recordem que és imprescindible realitzar la pertinent Anàlisi de Riscos i Avaluació d’Impacte per a verificar la legitimitat, necessitat, proporcionalitat i idoneïtat de l’ús de dades biomètriques per part de la seva empresa. No dubti a contactar-nos perquè duguem a terme aquesta exigència legal i pugui estar tranquil sobre aquest tema.
A Lladó Grup Consultor un equip de professionals en dret digital està a la teva disposició, per a qualsevol dubte o aclariment que puguis tenir sobre el Tractament de dades en l’empresa.
