Datos biométricos: qué son y su tratamiento en la protección de datos (RGPD y LOPDGDD)

El uso de datos biométricos cada vez está más extendido, ya es habitual que desbloqueemos nuestros smartphones con nuestra huella dactilar o usemos esta para acceder a la oficina o incluso registrar la jornada laboral. Sin embargo, a la hora de tratar este tipo de datos, las organizaciones deben tener en cuenta la normativa de protección de datos y lo que dice al respecto de los datos biométricos y su tratamiento.

En este artículo explicaremos qué son los datos biométricos, qué tipos existen, cuándo pueden tratarse y qué medidas es necesario adoptar para cumplir con la normativa de protección de datos al tratarlos.

¿Qué son los datos biométricos?

Los datos biométricos son aquellos que permiten reconocer a una persona de acuerdo a sus características fisiológicas o según sus conductas. Es decir, que a partir del análisis previo de huellas dactilares, geometría de la mano, retina o iris del ojo o imagen facial (por citar algunos) y de su registro y comparación, se puede identificar a una persona de manera inequívoca.

Se trata de un método automatizado para identificar usuarios, que se emplea en diferentes escenarios, incluida la identificación de empleados para acceder a las instalaciones de sus centros de trabajo.

El dato biométrico, además, se considera como dato personal, puesto que permite identificar a la persona. Sin embargo, el Reglamento General de Protección de Datos (RGPD) solo considera el tratamiento de datos biométricos como tratamiento de categorías especiales de datos y, por tanto, como datos especialmente protegidos, cuando esta información biométrica se usa para identificar de manera inequívoca a una persona física, usando para ello medios técnicos específicos.

Por ejemplo, cuando se usa la huella dactilar de los empleados en el control de acceso al centro de trabajo; aquí la huella identifica al trabajador para que este pueda acceder a las instalaciones.

Tipos de datos biométricos

Ahora que ya tenemos claro cuál es el significado de datos biométricos, conviene saber que existen diferentes tipos de datos biométricos y divisiones de los mismos basadas en distintos aspectos.

Una primera división de los datos biométricos se hace en función de su naturaleza, teniendo así tres categorías principales:

• Universal, cuando el dato exista en todas las personas
• Único, cuando se distinga en cada persona
• Permanente, cuando se mantenga a lo largo del tiempo

Otra forma de clasificar los datos biométricos es con relación a las características individuales que recogen, pudiendo diferenciar entre:

• Características físicas y fisiológica:
  • Huella dactilar: La huella dactilar es el dato biométrico más usado, tanto por su bajo coste como por su fácil acondicionamiento. La huella dactilar o fingerprint, además, tiene una tasa muy alta de precisión.
  • Reconocimiento facial: El reconocimiento facial es un sistema de identificación que permite reconocer a una persona por los rasgos de su cara. Este reconocimiento biométrico se basa en el empleo de un algoritmo que analiza las facciones del rostro del individuo y las compara con el resto de personas incluidas en la base de datos.
  • Reconocimiento del iris: Este reconocimiento se realiza a través de una cámara de infrarrojos, que hace una fotografía al ojo, mediante la cual se obtienen los detalles del iris.
  • Reconocimiento de la geometría de la mano: De una imagen en 3-D de la mano de la mano de la persona, vamos a determinar todos los detalles posibles, como por ejemplo la longitud, curvatura y grosor de los dedos, las medidas de la mano y su estructura ósea. Puede no resultar muy fiable, ya que si la mano sufre lesiones en la zona, la identificación puede verse afectada.
  • Reconocimiento de retina: Se realiza a través de un escáner de la retina mediante una cámara de infrarrojos. Los patrones son únicos en cada persona y no varían.
  • Reconocimiento vascular: Este patrón es interno y es el estudio de la geometría del árbol de venas del dedo o de las muñecas.
• Características del comportamiento y la personalidad:
  • Reconocimiento de firma: Se analiza la firma de la persona bien por comparación simple (entre dos o más firmas) o por verificación dinámica (se estudia la forma y velocidad de la firma).
  • Reconocimiento de escrito: Se realiza a través de un reconocimiento óptico de los caracteres por medio de un software determinado. Hay dos tipos, el estático y el dinámico.
  • Reconocimiento de voz: Se usan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación de la persona.
  • Reconocimiento de escritura de teclado: Consiste en medir la fuerza con la que una persona teclea, el tiempo de pulsación y el plazo que transcurre entre dos pulsaciones de teclado.
  • Reconocimiento de la forma de andar: Se analiza la forma de caminar de la persona mediante el uso de almohadillas especiales en el suelo y una cámara de alta resolución. Lo que va a medir esta cámara de alta definición es la distribución del peso, la velocidad de pasos y el estilo de caminar.

Aparte de estos datos biométricos, y a medida que la tecnología avanza y se desarrolla, existen otros métodos de identificación basados en indicadores biométricos, como pueden ser el estudio de la palma de la mano, la forma de las orejas, el ADN, la piel, etc.

Los datos biométricos en la normativa de protección de datos

¿Qué dice la normativa de protección de datos sobre los datos biométricos? Porque como dijimos más arriba, un dato biométrico se considera un dato personal, por lo que cualquier organización que lleve a cabo tratamiento de datos biométricos, debe tener en cuenta lo establecido sobre ellos tanto en el RGPD como en la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales).

Los datos biométricos en el RGPD

Los datos biométricos en el RGPD se definen en el artículo 4.14 de la siguiente manera:

«Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».

Y es en el artículo 9 donde eleva estos datos personales a la categoría de «especialmente protegidos», cuando se usan para «identificar de manera unívoca a una persona física», por lo que su tratamiento exige cumplir con una serie de requisitos especiales.

Los datos biométricos en la LOPDGDD

Por su parte, la actual ley orgánica de protección de datos en España apenas hace referencia a los datos biométricos y solo los menciona en las disposiciones adicionales relativas a datos relacionados con la salud.

A lo que sí hace referencia en su artículo 9, es a las categorías especiales de datos, señalando que «el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico».

Por su parte, la disposición final undécima matiza que «si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley».

¿Cuándo pueden tratarse datos biométricos? Base jurídica para el tratamiento de datos biométricos

La base jurídica para poder tratar datos biométricos la encontramos en el artículo 9 del RGPD:

• Por consentimiento explícito del interesado
• Para proteger el interés vital del interesado cuando este se encuentre incapacitado tomar decisiones
• Cuando sea necesario para el cumplimiento de obligaciones establecidas o para llevar a cabo los derechos de la protección de datos
• Si esos datos son públicos y han sido publicados por el interesado
• Por interés público esencial siempre que sea proporcional al objetivo perseguido
• Y también con fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador

Obligaciones de protección de datos para empresas que tratan datos biométricos

A continuación vemos las principales obligaciones que tienen las empresas para cumplir con la ley de protección de datos biométricos.

• Deber de información:

Aquellos que traten datos biométricos deben informar a los interesados sobre la identidad de los responsables, encargados del tratamiento o sus representantes, la finalidad del tratamiento, el plazo de conservación de datos, la cesión de datos a terceros o las vías para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).

• Consentimiento de los afectados:

El afectado deberá dar su consentimiento explícito al tratamiento de dichos datos, con la finalidad de dicho tratamiento especificada.

Por ejemplo, el empresario que desee instalar un control de acceso mediante el uso de estos datos deberá hacer firmar a sus empleados un escrito mediante el cual dan su consentimiento al tratamiento de los datos con fines de control de acceso

• Deber de seguridad:

Los responsables del tratamiento han de aplicar de manera proactiva todas las medidas necesarias para garantizar la seguridad e integridad de la información, con el objetivo de evitar la pérdida o el robo de datos o los accesos por parte de terceros no autorizados. También han de informar a la AEPD si se produce una brecha de seguridad en un plazo de 72 horas.

• Deber de confidencialidad:

También se ha de cumplir con el deber de confidencialidad, esto es, no revelar a terceros los datos a los que se ha tenido acceso. Esto incluye la obligatoriedad de firmar un acuerdo de confidencialidad con los encargados del tratamiento o con los empleados que tengan acceso a los datos biométricos. 

• Evaluación de Impacto:

Es obligatoria la realización de una Evaluación de Impacto del sistema que se usará para el tratamiento. A través de esta evaluación de impacto se determinarán las medidas necesarias para garantizar la protección y seguridad de los datos biométricos. 

• Principio de necesidad, idoneidad y proporcionalidad en el tratamiento:

Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el interesado.

El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.

El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.

Es decir, que si una empresa quiere recurrir al uso de datos biométricos, como la huella dactilar para el control de acceso, debe justificar que es una medida idónea y necesaria y que no hay una forma menos agresiva o invasiva que utilizar en su lugar.

• Registro de las actividades de tratamiento:

Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad.

Una base de datos biométricos deberá contener como mínimo la siguiente información:

• Nombre y los datos de contacto
  • Responsable
  • Encargados
  • Representante del responsable
  • Delegado de protección de datos
• Fines del tratamiento
• Descripción de las categorías de interesados y de las categorías de datos personales
• Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
• Plazos previstos para la supresión de las diferentes categorías de datos

Preguntas frecuentes

¿Se puede negar el trabajador a que se traten sus datos biométricos?

El tratamiento de estos datos biométricos para el control de acceso, identificación o control de presencia de los trabajadores en el puesto de trabajo, se puede considerar una de las medidas de seguridad física en una empresa y se basa en el artículo 20 del Estatuto de los Trabajadores. Por ello no se requiere el consentimiento expreso del empleado, aunque sí se deben limitar solamente a los casos donde sea necesario.

Y, en cualquier caso, los empleados deben ser informados de la finalidad del tratamiento de sus datos biométricos.

¿Dónde y cómo almacenar los datos biométricos?

Los datos biométricos pueden tratarse y almacenarse de diferentes formas. En ocasiones, la información biométrica capturada de una persona se almacena y se trata en bruto, permitiendo reconocer la fuente de la que procede. Por ejemplo, un selfie o la fotografía de una cara. Otras veces, la información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica.

Las autoridades de control europeas han manifestado que sería preferible no almacenar estos datos en una base de datos concreta, sino más bien solo en un objeto disponible exclusivamente para el usuario, como una tarjeta con microchip, un teléfono móvil o una tarjeta bancaria. Es decir, las aplicaciones de autenticación que se pueden llevar a cabo sin un almacenamiento centralizado de datos biométricos no deberían suponer la utilización de excesivas técnicas de identificación. Además, señalan que si se va a realizar tal base de datos, se debería consultar y presentar al control previo de las citadas autoridades de control.

En todo caso, resulta recomendable que la información biométrica recabada se procese y almacene de una forma segura.

¿Puedo recabar y tratar siempre que quiera datos biométricos?

No. Habrá que realizar un juicio de proporcionalidad entre la finalidad perseguida y el medio que se pretende utilizar.

Por ejemplo, de acuerdo a la normativa de protección de datos, la huella dactilar se puede usar para el control de entrada y salida de los empleados de determinadas zonas sensibles de la empresa, pero sería desproporcionado usarla para acceder a las zonas comunes del centro de trabajo.

Si se quiere recurrir a la huella dactilar para realizar el registro de la jornada laboral, ahora que es obligatorio fichar en el trabajo, será necesario realizar este juicio de proporcionalidad y comprobar si no hay métodos menos invasivos para ello.

¿Es legal instalar en mi entidad un control de presencia que utilice la huella dactilar?

Es de hecho este sistema el más generalizado para el tratamiento de este tipo de datos,  el control del cumplimiento por parte de la entidad del horario de los trabajadores, así como medida de seguridad adicional de acceso a las zonas restringidas.

Hay que destacar que los empresarios prefieren estos sistemas, ya que no permiten la falsificación de una contraseña y guardan un registro de acceso de cada uno de los empleados (lo que se encuentra en lo más alto del estándar de seguridad).

Por lo tanto, es legal, pero, como hemos dicho más arriba, requiere que cumpla con los principios de proporcionalidad, idoneidad y necesidad.

¿Puedo contratar a un tercero para que me instale y lleve la gestión de este sistema?

Sí, pero se deberá firmar con el tercero un contrato de encargo de tratamiento con todos los requisitos que exige la ley.

Además, con los principios que añade el RGPD, se deberá solicitar, previo a la realización del contrato, dicho tercero que acredite el cumplimiento de la normativa en protección de datos en su entidad, así como también que el sistema que use para el tratamiento de dichos datos cumple con los estándares exigidos en materia de seguridad.

Por tanto, deberemos guardar especial cuidado si decidimos tratar esta categoría especial de datos personales y deberemos cumplir escrupulosamente con la normativa en protección de datos, tanto europea como nacional.

¿Es la huella dactilar un dato de carácter personal?

Como ya hemos visto más arriba, sí, la huella dactilar se considera un dato de carácter personal.

Como sabemos un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

La huella dactilar es única para cada persona, lo que nos permite identificarla, por lo que, ateniéndonos a la definición dada por la normativa de protección de datos, la huella dactilar es un dato de carácter personal.

¿Y los rasgos faciales?

Sí. Como ocurre con la huella dactilar, a través de la cara se puede identificar a una persona, por lo que las características físicas de la cara son consideradas datos de carácter personal.

¿Tratas con datos biométricos en tu empresa? ¿Estás pensando en implantar algún tipo de sistema biométrico?

Ten en cuenta que si vas a utilizar algún sistema de reconocimiento basado en datos biométrico tendrás que llevar un registro del tratamiento de estos datos e informar a los interesados sobre el responsable de tratamiento, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Estos sistemas de reconocimiento basados en datos biométricos son cada vez más usados por las empresas, pero en muchos casos se implantan sin saber las obligaciones que establece la ley.

Si necesitas ayuda para la protección de datos biométricos, en Grupo Atico34 te podemos ayudar. Somos una consultora con más de 12 años de experiencia ofreciendo servicios de protección de datos en empresas de todos los tamaños y sectores. Contamos con un equipo de abogados y asesores cualificados y especializados en el cumplimiento de las normativas de protección de datos. Estamos siempre a la vanguardia y por eso estamos al tanto de cómo adaptar las nuevas soluciones tecnológicas y digitales a la ley de protección de datos.

Para darse de alta en protección de datos con nuestro servicio, solo tienes que ponerte en contacto con nosotros. Te guiaremos en todo lo que necesites.