¿Cómo cumplir el RGPD si manejas datos biométricos?

Si eres empresario y tienes la idea de instalar algún método de identificación de tus trabajadores que vaya a requerir de los datos biométricos de los mismos, bien para controlar el acceso a las oficinas, bien para proceder a su identificación o bien para seguir un control de presencia en el centro de trabajo, te recomiendo seguir leyendo este artículo donde te vamos a explicar de forma clara y concisa todo lo que necesitas saber antes de aplicar estas técnicas biométricas en tu centro de trabajo.

Para todo ello hemos seguido la Guía sobre las tecnologías biométricas aplicadas a la ciberseguridad del Instituto Nacional de Ciberseguridad, más conocido como INCIBE.

¿Son los datos biométricos datos personales?

Estamos viendo que la tecnología da pasos agigantados. Ahora mismo podemos desbloquear los móviles con las huellas de los dedos o incluso enseñándoles nuestra cara. Entonces, si nuestro propio móvil es capaz de identificarnos a través de estos características fisiológicas, otros también pueden.

La revolución en el campo de la biometría es tan avanzada que algunos analistas especializados en el campo se aventuran a decir que “la contraseña ha muerto”.

Los argumentos para afirmar esto son muy variados, como por ejemplo el hecho de que varias multinacionales como Google o una parte del gobierno de Estados Unidos no utilizan contraseñas para acceder a sus sistemas sino que utiliza sistemas biométricos.

Los datos biométricos tiene el mismo tratamiento que otros datos personales como pueden ser nombres o correos electrónicos para le lay española. Cuando rellenamos un formulario para solicitar el alta de un fichero en la AEPD hay un apartado que se centra más estrictamente en este tema.

Un archivo con datos biométricos puede ser de gran valor para cualquier delincuente debido a que un ojo o una huella dactilar no puede ser sustituida por lo que las medidas de seguridad para estos datos tiene que reforzarse. Para ello las empresas que tienen en su poder este tipo de datos tendrán que encontrar soluciones para que este tipo de información no pueda ser utilizado fácilmente.

En este post indicamos cómo cumplir la nueva ley de protección de datos si tratas datos biométricos.

¿Qué son los datos biométricos?

Los datos biométricos sirven para el reconocimiento de personas de acuerdo a sus características fisiológicas o según sus conductas. Es un método automático que se usa para identificar al trabajador, tras haber realizado un análisis previo de sus huellas dactilares, geometría de la mano, retina o iris del ojo, imagen facial y haber procedido a su registro para su posterior identificación.

Tipos de datos biométricos

El dato biométrico que vamos a recabar de nuestros trabajadores puede ser de tres tipos:

• Universal, cuando el dato exista en todas las personas
• Único, cuando se distinga en cada persona
• Permanente, cuando se mantenga a lo largo del tiempo

Hay varias formas de identificar a los trabajadores, bien siguiendo sus rasgos físicos o bien mediante sus comportamientos o sus conductas.

Vamos a analizarlos brevemente:

Huella dactilar

Es el dato biométrico más usado, por su bajo coste y su fácil acondicionamiento. La huella dactilar además tiene una tasa muy alta de precisión.

Hay dos métodos para recoger las huellas dactilares:

• “Basado en minucias”, que consiste en identificar formas de la huella dactilar y su posición dentro de la misma
• “Basado en correlación”, que analiza la huella dactilar de forma global.

Reconocimiento del iris

Este reconocimiento se realiza a través de una cámara de infrarrojos, que hace una fotografía al ojo, mediante la cual se obtienen los detalles del iris.

No suele fallar a la hora de identificar al trabajador ya que la información que se almacena en el iris no varía.

Reconocimiento de la geometría de la mano

De una imagen en 3-D de la mano del trabajador, vamos a determinar todos los detalles posibles, como por ejemplo la longitud, curvatura y grosor de los dedos, las medidas de la mano y su estructura ósea.

Puede no resultar muy fiable ya que si el trabajador sufre lesiones en la zona, la identificación puede verse afectada.

Reconocimiento de retina

Se realiza a través de un escáner de la retina mediante una cámara de infrarrojos.

Los patrones son únicos en cada trabajador y no varían.

Reconocimiento vascular

Este patrón es interno y es el estudio de la geometría del árbol de venas del dedo o de las muñecas.

Reconocimiento de firma

Se analiza la firma del trabajador:

• por comparación simple (parecido entre dos firmas) o
• por verificación dinámica (se estudia la forma y velocidad).

Reconocimiento de escrito

Se realiza a través de un reconocimiento óptico de los caracteres por medio de un software determinado. Hay dos tipos, el estático y el dinámico.

Reconocimiento de voz

Se usan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación del trabajador.

Deben tenerse en cuenta que pueden influir factores externos como es el ruido de fondo.

Reconocimiento de escritura de teclado

Consiste en medir:

• la fuerza con la que el trabajador teclea,
• el tiempo de pulsación y
• el plazo que transcurre entre dos pulsaciones de teclado.

Reconocimiento de la forma de andar

Se analiza la forma de caminar del trabajador mediante el uso de almohadillas especiales en el suelo y una cámara de alta resolución. Lo que va a medir esta cámara de alta definición es la distribución del peso, la velocidad de pasos y el estilo de caminar.

Otras

También hay otros reconocimientos para identificar a los trabajadores como lo son el estudio de la palma de la mano, la forma de las orejas, el ADN, la piel…

Reconocimiento facial

El reconocimiento facial es un sistema de identificación que permite reconocer a una persona por los rasgos de su cara. Se basa en el empleo de un algoritmo que analiza las facciones del rostro del individuo y las compara con el resto de personas incluidas en la base de datos.

Se identifica al trabajador a través de una imagen o fotografía. Donde va a ser analizado el rostro por programas de cálculo determinados para poder realizar la comparativa con la imagen o fotografía ya obtenida.

En estos casos, debemos tener en cuenta las consecuencias que la edad produce en los rostros. Así como las modificaciones que pueden sufrir los trabajadores portando lentes de visión, con el vello facial, etc.

Programas de reconocimiento facial

Existe para reconocimiento facial software muy variado. Cada vez proliferan más las aplicaciones y programas que permiten identificar a una personas por los rasgos de su cara. Incluso, algunas de estas apps son gratuitas.

Social Mapper

Se trata de un programa de reconocimiento facial gratis que funciona en tres etapas. Primero, se define una lista de objetivos. Después., realiza la búsqueda en la web. Por último, crea un archivo con los datos relevantes de los objetivos encontrados, como links a redes sociales o a otras imágenes de la persona en internet.

Se trata de una aplicación que, dadas sus posibilidades, podría ser usada con fines de phishing o suplantación de identidad, aunque sus creadores afirman que está pensada para hackers éticos y profesionales del ámbito de la seguridad.

Open Face

Es un programa de reconocimiento facial de código abierto diseñado por la Universidad Carnegie Mellon de Pensilvania. Permite reconocer a una persona a través de fotos. Eso sí, necesita 10 imágenes de la persona en cuestión para poder identificarla.

Los teléfonos móviles actuales también están incorporando ya este tipo de tecnología, como el sistema de reconocimiento facial Xiaomi que la empresa china emplea en sus dispositivos, por ejemplo en modelos como el Mi Mix 2S o el Mi 8.

Incluso, cada vez es más frecuente incorporar este tipo de programas como método de control de accesos en empresas. Sobre todo se usa, de momento, en compañías de cierta envergadura, pero es probable que pronto sea frecuente encontrar este tipo de sistemas en cualquier tipo de negocio o empresa.

Blippar

Es una aplicación de realidad aumentada que permite reconocer todo tipo de objetos, plantas o animales. Entre sus funciones también está la del reconocimiento facial.

Reconocimiento facial online

¿Nunca te has preguntado cómo es posible que Facebook o Google reconozcan tu cara? Es porque utilizan aplicaciones de reconocimiento facial online cada vez más depuradas.

De hecho, desde 2015 ambas compañías desarrollan una silenciosa guerra fría en este campo con sus respectivas apps. Primero fue Facebook quien pregonó las bondades de su app DeepFace, que presume de un grado de éxito del 97,25%. Sin embargo, Google contraatacó con FaceNet, un programa que permite al gigante de internet reconocer caras con un grado de acierto del 99,96%.

Buscar personas por foto

Social Mapper quizá sea el mejor programa de reconocimiento facial para buscar personas, pero no es el único. Se pueden encontrar muchas otras aplicaciones, tanto para ordenadores como para dispositivos möviles.

Una de estas aplicaciones online es TinEye. Permite subir la fotografía de una persona y buscar imágenes similares a ela en la red. Con un poco de suerte, se pueden encontrar otras fotos de la persona en cuestión. También permite realizar búsquedas sobre imágenes que ya están online.

También existen herramientas para buscar personas por fotografías en redes sociales. Una de ellas es FindFace, una app creada por una desarrolladora rusa en colaboración con Twitter, que permite subir una imagen de una persona y realizar una búsqueda de reconocimiento por la red social.

Programas gratis de reconocimiento facial, aplicaciones para teléfonos móviles, soluciones para buscar personas en redes sociales… La tecnología avanza a pasos agigantados y cada vez es más difícil mantener el anonimato, aunque se quiera.

¿Son considerados datos sensibles por el RGPD?

Con la antigua LOPD los datos biométricos eran considerados un dato de carácter personal simple o básico, estaban equiparados a los datos como números de teléfonos o direcciones de correos.

El reglamento europeo de protección de datos entiende que los datos biométricos deben ser considerados y tratados como datos de carácter sensible. Esto quiere decir que debemos cumplir unos requisitos para tratar dichos datos:

• recabar el consentimiento explícito de los trabajadores en un documento donde se especifique claramente con qué finalidad se van a obtener esos datos biométricos
• realizar una evaluación de impacto sobre estos datos y
• llevar a cabo el registro de actividades de tratamiento.

¿Cuál es la base jurídica para realizar el tratamiento de estos datos?

La base jurídica a estos tratamientos la encontramos en el artículo 9 del RGPD:

• Por consentimiento expreso del interesado
• Para proteger el interés vital del interesado cuando este se encuentre incapacitado tomar decisiones
• Cuando sea necesario para el cumplimiento de obligaciones establecidas o para llevar a cabo los derechos de la protección de datos
• Si esos datos son públicos y han sido publicados por el interesado
• Por interés público esencial siempre que sea proporcional al objetivo perseguido
• Y también con fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador

RGPD y datos biométricos

El Reglamento General de Protección de Datos europeo (RGPD), define a los datos biométricos de la siguiente manera (artículo 4.14).

“Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”

El RGPD, en su artículo 9, eleva estos datos personales a la característica de “Especialmente Protegidos”, por lo que se deberán cumplir con una serie de requisitos para su tratamiento conforme a la normativa:

Consentimiento explícito

El afectado deberá dar su consentimiento explícito al tratamiento de dichos datos, con la finalidad de dicho tratamiento especificada.

Por ejemplo, el empresario que desee instalar un control de acceso mediante el uso de estos datos deberá hacer firmar a sus empleados un escrito mediante el cual dan su consentimiento al tratamiento de los datos con fines de control de acceso

Evaluación de Impacto

Es obligatoria la realización de una Evaluación de Impacto del sistema que se usará para el tratamiento.

Registro de las actividades de tratamiento

Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad.

Este registro deberá contener como mínimo la siguiente información:

• nombre y los datos de contacto
  • responsable
  • corresponsable
  • representante del responsable
  • delegado de protección de datos
• fines del tratamiento
• descripción de las categorías de interesados y de las categorías de datos personales
• categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
• plazos previstos para la supresión de las diferentes categorías de datos

Los datos biométricos en la nueva LOPD

Actualmente se encuentra en tramitación parlamentaria la Nueva Ley Orgánica de Protección de Datos.

Esta pretende clarificar y ampliar ciertos enunciados del RGPD, y en particular en este caso, lo relativo a la aplicación de la medidas de seguridad conforme al riesgo.

Medidas de seguridad

Cifrado

Como medida de seguridad para con estos datos, la nueva normativa exige el cifrado de los mismo mientras se encuentren alojados en la base de datos.

También, cuando estos datos sean comunicados mediante redes de telecomunicaciones, deberemos cifrarlos.

Control de acceso

Por último , hay que destacar que la nueva normativa exige que se guarde un registro de los accesos que se realicen a esta categoría especial de datos que al menos contengo lo siguientes campos:

• Persona que accede a los datos
• Fecha y hora a la que accedió
• Datos a los que se tuvo acceso

Principio de necesidad, idoneidad y proporcionalidad en el tratamiento

Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el trabajador.

El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.

El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.

¿Para qué finalidades se van a recabar los datos biométricos?

Las finalidades para las que recogemos datos biométricos son:

Control de presencia

Uno de los motivos más importantes por el cual, como empresa, nos vamos a decidir a implantar alguno de estos sistemas en nuestras oficinas va a consistir en  la identificación de los empleados para el acceso a las mismas.

Por este método vamos a saber a qué hora han llegado los trabajadores y a qué hora se han ido, las horas extraordinarias que han realizado, si han llegado tarde, si han estado de vacaciones y durante cuánto tiempo.

Identificación

Resulta mucho más seguro realizar la identificación del trabajador mediante estas técnicas y dejar las tácticas antiguas -como contraseñas o tarjetas- ya que estas técnicas pueden ser sustraídas fácilmente, pérdidas u olvidados. Con los datos biométricos, ninguno de estos casos podría producirse ya que son datos que permanecen siempre con el trabajador y son invariables.

Control de la información

También podemos hacer uso de estos datos para determinar qué trabajadores van a tener acceso a determinadas zonas de alta seguridad o a determinados datos de carácter restringido.

Control de acceso

Permite a los trabajadores el acceso al recinto, a zonas restringidas para determinados sectores o departamentos. Normalmente se establece para zonas que requieren alta seguridad.

Protección de datos biométricos

Tratar estos datos sensibles por parte de la empresa va a suponer que tengamos unas medidas de seguridad para certificar que se está cumpliendo con el RGPD.

Como responsables del tratamiento debemos garantizar la privacidad y proteger esos datos de aquellas personas que no estén autorizados para tratarlos. Además de protegerlos de una destrucción o pérdida accidental o ilícita. Las medidas técnicas para tratar estos datos deben ser las siguientes:

• Que se almacenen en plantillas biométricas cuando sea posible
• Que no se realice un almacenamiento centralizado de estos datos, si no que se almacene en dispositivos cifrados que porten los interesados
• La información de los datos biométricos debe almacenarse siempre de forma cifrada
• Es recomendable suprimir los datos biométricos de forma automática cuando se cumpla el tiempo necesario para el fin por el que fueron recogidos

Además se determina la obligación por parte del responsable del tratamiento de establecer un protocolo de control de acceso donde se registre:

• qué persona ha accedido a esos datos,
• la fecha y hora en que se accedió y
• los datos a los que se ha accedido.

Preguntas frecuentes

¿Se puede negar el trabajador a que se traten esos datos?

El tratamiento de estos datos biométricos para el control de acceso, identificación o control de presencia de los trabajadores en el puesto de trabajo, se puede considerar una medida de control y se basa en el artículo 20 del Estatuto de los Trabajadores. Por ello no se requiere el consentimiento expreso del empleado, aunque si se deben limitar solamente a los casos donde sea necesario.

Al tener datos biométricos de los empleados, ¿es necesario un Delegado de protección de datos?

No es necesario. Esta figura solo será necesaria en caso de trabajar con volúmenes de datos a gran escala.

¿Dónde puedo almacenar los datos biométricos?

Los datos biométricos pueden tratarse y almacenarse de diferentes formas. En ocasiones, la información biométrica capturada de una persona se almacena y se trata en bruto, permitiendo reconocer la fuente de la que procede. Por ejemplo, un selfie o la fotografía de una cara. Otras veces, la información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica.

Las autoridades de control europeas han manifestado que sería preferible no almacenar estos datos en una base de datos concreta. Sino más bien sólo en un objeto disponible exclusivamente para el usuario. Como una tarjeta con microchip, un teléfono móvil o una tarjeta bancaria. Es decir, las aplicaciones de autenticación que se pueden llevar a cabo sin un almacenamiento centralizado de datos biométricos no debería suponer la utilización de excesivas técnicas de identificación. Además señalan que si se va a realizar tal base de datos, se debería consultar y presentar al control previo de las citadas autoridades de control.

En todo caso, resulta recomendable que la información biométrica recabada se procese y almacene de una forma segura.

¿Puedo recabar y tratar siempre que quiera datos biométricos?

No.

Habrá que realizar un juicio de proporcionalidad entre la finalidad perseguida y el medio que pretendo utilizar.

Por ejemplo, sería desproporcionado instalar un sistema que utilizaría la huella de un empleado para poder usar el servicio, en cambio, no sería desproporcionado la instalación de un sistema de tratamiento de datos biométricos para control de entrada y salida de los empleados de determinadas zonas sensibles de la entidad.

¿Es legal instalar en mi entidad un control de presencia que utilice la huella dactilar?

Es de hecho este sistema el más generalizado para el tratamiento de estos tipos de datos,  el control del cumplimiento por parte de la entidad del horario de los trabajadores así como media de seguridad adicional de acceso a las zonas restringidas.

Hay que destacar que los empresarios prefieren estos sistemas ya que no permiten la falsificación de una contraseña y guarda un registro de acceso de cada uno de los empleados (lo que se encuentra en lo más alto del estándar de seguridad).

¿Puedo contratar a un tercero para que me instale y lleve la gestión de este sistema?

Sí, pero se deberá firmar con el tercero un contrato de encargo de tratamiento con todos los requisitos que exige la ley.

Además con los nuevos principios que añade el RGPD, se deberá solicitar, previo a la realización del contrato, dicho tercero que acredite el cumplimiento de la normativa en protección de datos en su entidad, así como también que el sistema que use para el tratamiento de dichos datos cumple con los estándares exigidos en materia de seguridad.

Por tanto deberemos guardar especial cuidado si decidimos tratar esta categoría especial de datos personales y deberemos cumplir escrupulosamente con la normativa en protección de datos, tanto europea como nacional.

¿Es la huella dactilar un dato de carácter personal?

Sí.

Como sabemos un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

La huella dactilar, es única para cada persona, por lo que nos permite identificarla, por lo que, atendiéndonos a la definición dada, está claro que es un dato de carácter personal.

¿Y los rasgos faciales?

Sí.

Como hemos dicho anteriormente, si mediante cualquier tipo de información referida a la identidad, ya sea física, fisiológica, económica, cultural, etc; permite identificar a esa persona, es una persona identificable.

Y está claro que, a través de la cara se puede identificar a una persona, por lo que las características físicas de la cara son consideradas datos de carácter personal.

Conclusiones

Esperamos haberte solucionado tus dudas sobre qué son los datos biométricos y como se deben tratar conforme a la nueva regulación.

No obstante, te recomendamos que no te quedes aquí, ya que debido a la especial protección que se exige para esta categoría de datos en la nueva normativa, hay muchas variantes a tener en cuenta, a si que si tienes alguna pregunta específica no dudes en contactar con nuestro departamento jurídico. Puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.