Blog de Protección de Datos para empresas y autónomos

Estás aquí: Inicio / Sin categoría / ¿Cómo cumplir el RGPD si manejas datos biométricos?

¿Cómo cumplir el RGPD si manejas datos biométricos?

Si eres empresario y tienes la idea de instalar algún método de identificación de tus trabajadores que vaya a requerir de los datos biométricos de los mismos, bien para controlar el acceso a las oficinas, bien para proceder a su identificación o bien para seguir un control de presencia en el centro de trabajo, te recomiendo seguir leyendo este artículo donde te vamos a explicar de forma clara y concisa todo lo que necesitas saber antes de aplicar estas técnicas biométricas en tu centro de trabajo.

Para todo ello hemos seguido la Guía sobre las tecnologías biométricas aplicadas a la ciberseguridad del Instituto Nacional de Ciberseguridad, más conocido como INCIBE.

¿Qué son los datos biométricos?

Los datos biométricos sirven para el reconocimiento de personas de acuerdo a sus características fisiológicas o según sus conductas. Es un método automático que se usa para identificar al trabajador, tras haber realizado un análisis previo de sus huellas dactilares, geometría de la mano, retina o iris del ojo, imagen facial y haber procedido a su registro para su posterior identificación.

Tipos de datos biométricos

El dato biométrico que vamos a recabar de nuestros trabajadores puede ser de tres tipos:

  • Universal, cuando el dato exista en todas las personas
  • Único, cuando se distinga en cada persona
  • Permanente, cuando se mantenga a lo largo del tiempo

Hay varias formas de identificar a los trabajadores, bien siguiendo sus rasgos físicos o bien mediante sus comportamientos o sus conductas.

Vamos a analizarlos brevemente:

Huella dactilar

Es el dato biométrico más usado, por su bajo coste y su fácil acondicionamiento. La huella dactilar además tiene una tasa muy alta de precisión.

Hay dos métodos para recoger las huellas dactilares:

  • “Basado en minucias”, que consiste en identificar formas de la huella dactilar y su posición dentro de la misma
  • “Basado en correlación”, que analiza la huella dactilar de forma global.

Reconocimiento facial

Se identifica al trabajador a través de una imagen o fotografía. Donde va a ser analizado el rostro por programas de cálculo determinados para poder realizar la comparativa con la imagen o fotografía ya obtenida.

En estos casos, debemos tener en cuenta las consecuencias que la edad produce en los rostros. Así como las modificaciones que pueden sufrir los trabajadores portando lentes de visión, con el vello facial, etc.

Reconocimiento del iris

Este reconocimiento se realiza a través de una cámara de infrarrojos, que hace una fotografía al ojo, mediante la cual se obtienen los detalles del iris.

No suele fallar a la hora de identificar al trabajador ya que la información que se almacena en el iris no varía.

Reconocimiento de la geometría de la mano

De una imagen en 3-D de la mano del trabajador, vamos a determinar todos los detalles posibles, como por ejemplo la longitud, curvatura y grosor de los dedos, las medidas de la mano y su estructura ósea.

Puede no resultar muy fiable ya que si el trabajador sufre lesiones en la zona, la identificación puede verse afectada.

Reconocimiento de retina

Se realiza a través de un escáner de la retina mediante una cámara de infrarrojos.

Los patrones son únicos en cada trabajador y no varían.

Reconocimiento vascular

Este patrón es interno y es el estudio de la geometría del árbol de venas del dedo o de las muñecas.

Reconocimiento de firma

Se analiza la firma del trabajador:

  • por comparación simple (parecido entre dos firmas) o
  • por verificación dinámica (se estudia la forma y velocidad).

Reconocimiento de escrito

Se realiza a través de un reconocimiento óptico de los caracteres por medio de un software determinado. Hay dos tipos, el estático y el dinámico.

Reconocimiento de voz

Se usan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación del trabajador.

Deben tenerse en cuenta que pueden influir factores externos como es el ruido de fondo.

Reconocimiento de escritura de teclado

Consiste en medir:

  • la fuerza con la que el trabajador teclea,
  • el tiempo de pulsación y
  • el plazo que transcurre entre dos pulsaciones de teclado.

Reconocimiento de la forma de andar

Se analiza la forma de caminar del trabajador mediante el uso de almohadillas especiales en el suelo y una cámara de alta resolución. Lo que va a medir esta cámara de alta definición es la distribución del peso, la velocidad de pasos y el estilo de caminar.

Otras

También hay otros reconocimientos para identificar a los trabajadores como lo son el estudio de la palma de la mano, la forma de las orejas, el ADN, la piel…

¿Son considerados datos sensibles por el RGPD?

Con la antigua LOPD los datos biométricos eran considerados un dato de carácter personal simple o básico, estaban equiparados a los datos como números de teléfonos o direcciones de correos.

El reglamento europeo de protección de datos entiende que los datos biométricos deben ser considerados y tratados como datos de carácter sensible. Esto quiere decir que debemos cumplir unos requisitos para tratar dichos datos:

  • recabar el consentimiento explícito de los trabajadores en un documento donde se especifique claramente con qué finalidad se van a obtener esos datos biométricos
  • realizar una evaluación de impacto sobre estos datos y
  • llevar a cabo el registro de actividades de tratamiento.

¿Cuál es la base jurídica para realizar el tratamiento de estos datos?

La base jurídica a estos tratamientos la encontramos en el artículo 9 del RGPD:

  • Por consentimiento expreso del interesado
  • Para proteger el interés vital del interesado cuando este se encuentre incapacitado tomar decisiones
  • Cuando sea necesario para el cumplimiento de obligaciones establecidas o para llevar a cabo los derechos de la protección de datos
  • Si esos datos son públicos y han sido publicados por el interesado
  • Por interés público esencial siempre que sea proporcional al objetivo perseguido
  • Y también con fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador

Principio de necesidad, idoneidad y proporcionalidad en el tratamiento

Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el trabajador.

El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.

El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.

¿Para qué finalidades se van a recabar los datos biométricos?

Las finalidades para las que recogemos datos biométricos son:

Control de presencia

Uno de los motivos más importantes por el cual, como empresa, nos vamos a decidir a implantar alguno de estos sistemas en nuestras oficinas va a consistir en  la identificación de los empleados para el acceso a las mismas.

Por este método vamos a saber a qué hora han llegado los trabajadores y a qué hora se han ido, las horas extraordinarias que han realizado, si han llegado tarde, si han estado de vacaciones y durante cuánto tiempo.

Identificación

Resulta mucho más seguro realizar la identificación del trabajador mediante estas técnicas y dejar las tácticas antiguas -como contraseñas o tarjetas- ya que estas técnicas pueden ser sustraídas fácilmente, pérdidas u olvidados. Con los datos biométricos, ninguno de estos casos podría producirse ya que son datos que permanecen siempre con el trabajador y son invariables.

Control de la información

También podemos hacer uso de estos datos para determinar qué trabajadores van a tener acceso a determinadas zonas de alta seguridad o a determinados datos de carácter restringido.

Control de acceso

Permite a los trabajadores el acceso al recinto, a zonas restringidas para determinados sectores o departamentos. Normalmente se establece para zonas que requieren alta seguridad.

Protección de datos biométricos

Tratar estos datos sensibles por parte de la empresa va a suponer que tengamos unas medidas de seguridad para certificar que se está cumpliendo con el RGPD.

Como responsables del tratamiento debemos garantizar la privacidad y proteger esos datos de aquellas personas que no estén autorizados para tratarlos. Además de protegerlos de una destrucción o pérdida accidental o ilícita. Las medidas técnicas para tratar estos datos deben ser las siguientes:

  • Que se almacenen en plantillas biométricas cuando sea posible
  • Que no se realice un almacenamiento centralizado de estos datos, si no que se almacene en dispositivos cifrados que porten los interesados
  • La información de los datos biométricos debe almacenarse siempre de forma cifrada
  • Es recomendable suprimir los datos biométricos de forma automática cuando se cumpla el tiempo necesario para el fin por el que fueron recogidos

Además se determina la obligación por parte del responsable del tratamiento de establecer un protocolo de control de acceso donde se registre:

  • qué persona ha accedido a esos datos,
  • la fecha y hora en que se accedió y
  • los datos a los que se ha accedido.

Preguntas frecuentes

¿Se puede negar el trabajador a que se traten esos datos?

El tratamiento de estos datos biométricos para el control de acceso, identificación o control de presencia de los trabajadores en el puesto de trabajo, se puede considerar una medida de control y se basa en el artículo 20 del Estatuto de los Trabajadores. Por ello no se requiere el consentimiento expreso del empleado, aunque si se deben limitar solamente a los casos donde sea necesario.

Al tener datos biométricos de los empleados, ¿es necesario un Delegado de protección de datos?

No es necesario. Esta figura solo será necesaria en caso de trabajar con volúmenes de datos a gran escala.

¿Dónde puedo almacenar los datos biométricos?

Los datos biométricos pueden tratarse y almacenarse de diferentes formas. En ocasiones, la información biométrica capturada de una persona se almacena y se trata en bruto, permitiendo reconocer la fuente de la que procede. Por ejemplo, un selfie o la fotografía de una cara. Otras veces, la información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica.

Las autoridades de control europeas han manifestado que sería preferible no almacenar estos datos en una base de datos concreta. Sino más bien sólo en un objeto disponible exclusivamente para el usuario. Como una tarjeta con microchip, un teléfono móvil o una tarjeta bancaria. Es decir, las aplicaciones de autenticación que se pueden llevar a cabo sin un almacenamiento centralizado de datos biométricos no debería suponer la utilización de excesivas técnicas de identificación. Además señalan que si se va a realizar tal base de datos, se debería consultar y presentar al control previo de las citadas autoridades de control.

En todo caso, resulta recomendable que la información biométrica recabada se procese y almacene de una forma segura.

Si tras leer este post sigues manteniendo la idea de instalar cualquiera de estos registros para tu empresa, te recomendamos que te pongas en contacto con Grupo Ático34, tlfno. 91 489 64 19, para que podamos asesorarte de forma adecuada.

¿Cómo cumplir el RGPD si manejas datos biométricos?
4.8 (95%) 8 votos

Contacto Solícitenos información cumplimentando el siguiente formulario

He leído y acepto elaviso legal y la política de privacidad