¿Manejas Datos biométricos? Cumple con el RGPD/LOPDGDD

Si eres empresario y tienes la idea de instalar algún método de identificación de tus trabajadores que vaya a requerir de los datos biométricos de los mismos, bien para controlar el acceso a las oficinas, bien para proceder a su identificación o bien para seguir un control de presencia en el centro de trabajo, te recomiendo seguir leyendo este artículo donde te vamos a explicar de forma clara y concisa todo lo que necesitas saber antes de aplicar estas técnicas biométricas en tu centro de trabajo.

¿Qué son los datos biométricos?

Los datos biométricos sirven para el reconocimiento de personas de acuerdo a sus características fisiológicas o según sus conductas. Es un método automático que se usa para identificar al trabajador, tras haber realizado un análisis previo de sus huellas dactilares, geometría de la mano, retina o iris del ojo, imagen facial y haber procedido a su registro para su posterior identificación.

¿Son datos personales?

Estamos viendo que la tecnología da pasos agigantados. Ahora mismo podemos desbloquear los móviles con las huellas de los dedos o incluso enseñándoles nuestra cara. Entonces, si nuestro propio móvil es capaz de identificarnos a través de estos características fisiológicas, otros también pueden.

La revolución en el campo de la biometría es tan avanzada que algunos analistas especializados en el campo se aventuran a decir que “la contraseña ha muerto”.

Los argumentos para afirmar esto son muy variados, como por ejemplo el hecho de que varias multinacionales como Google o una parte del gobierno de Estados Unidos no utilizan contraseñas para acceder a sus sistemas sino que utiliza sistemas biométricos.

Los datos biométricos son considerados datos personales como pueden ser nombres o correos electrónicos para le lay española.

Un archivo con datos biométricos puede ser de gran valor para cualquier delincuente debido a que un ojo o una huella dactilar no puede ser sustituida por lo que las medidas de seguridad para estos datos tiene que reforzarse. Para ello las empresas que tienen en su poder este tipo de datos tendrán que encontrar soluciones para que este tipo de información no pueda ser utilizado fácilmente.

¿Son considerados sensibles?

El Reglamento General de Protección de Datos (RGPD) entiende que los datos biométricos deben ser considerados y tratados como datos especialmente protegidos. Esto quiere decir que debemos cumplir unos requisitos para tratar dichos datos:

• Recabar el consentimiento explícito de los trabajadores en un documento donde se especifique claramente con qué finalidad se van a obtener esos datos biométricos
• Realizar una evaluación de impacto sobre estos datos y
• Llevar a cabo el registro de actividades de tratamiento.

Esto no pasaba con la antigua LOPD, en la que los datos biométricos eran considerados un dato de carácter personal simple o básico, equiparados a los datos como números de teléfonos o direcciones de correos.

En este post indicamos cómo cumplir la nueva ley de protección de datos si tratas datos biométricos.

Tipos de datos biométricos

El dato biométrico que vamos a recabar de nuestros trabajadores puede ser de tres tipos:

• Universal, cuando el dato exista en todas las personas
• Único, cuando se distinga en cada persona
• Permanente, cuando se mantenga a lo largo del tiempo

Hay varias formas de identificar a los trabajadores, bien siguiendo sus rasgos físicos o bien mediante sus comportamientos o sus conductas. Pero, en concreto, ¿cuáles son los datos biométricos?

Huella dactilar

Es el dato biométrico más usado, por su bajo coste y su fácil acondicionamiento. La huella dactilar o fingerprint además tiene una tasa muy alta de precisión.

Hay dos métodos para recoger las huellas dactilares:

• “Basado en minucias”, que consiste en identificar formas de la huella dactilar y su posición dentro de la misma
• “Basado en correlación”, que analiza la huella dactilar de forma global.

Reconocimiento facial

El reconocimiento facial es un sistema de identificación que permite reconocer a una persona por los rasgos de su cara. Este reconocimiento biométrico se basa en el empleo de un algoritmo que analiza las facciones del rostro del individuo y las compara con el resto de personas incluidas en la base de datos.

Se identifica al trabajador a través de una imagen o fotografía. Donde va a ser analizado el rostro por programas de cálculo determinados para poder realizar la comparativa con la imagen o fotografía ya obtenida.

En estos casos, debemos tener en cuenta las consecuencias que la edad produce en los rostros. Así como las modificaciones que pueden sufrir los trabajadores portando lentes de visión, con el vello facial, etc.

También es necesario mencionar el reconocimiento facial online. ¿Nunca te has preguntado cómo es posible que Facebook o Google reconozcan tu cara? Es porque utilizan aplicaciones de reconocimiento facial online cada vez más depuradas.

De hecho, desde 2015 ambas compañías desarrollan una silenciosa guerra fría en este campo con sus respectivas apps. Primero fue Facebook quien pregonó las bondades de su app DeepFace, que presume de un grado de éxito del 97,25%. Sin embargo, Google contraatacó con FaceNet, un programa que permite al gigante de internet reconocer caras con un grado de acierto del 99,96%.

Reconocimiento del iris

Este reconocimiento se realiza a través de una cámara de infrarrojos, que hace una fotografía al ojo, mediante la cual se obtienen los detalles del iris.

No suele fallar a la hora de identificar al trabajador ya que la información que se almacena en el iris no varía.

Reconocimiento de la geometría de la mano

De una imagen en 3-D de la mano del trabajador, vamos a determinar todos los detalles posibles, como por ejemplo la longitud, curvatura y grosor de los dedos, las medidas de la mano y su estructura ósea.

Puede no resultar muy fiable ya que si el trabajador sufre lesiones en la zona, la identificación puede verse afectada.

Reconocimiento de retina

Se realiza a través de un escáner de la retina mediante una cámara de infrarrojos.

Los patrones son únicos en cada trabajador y no varían.

Reconocimiento vascular

Este patrón es interno y es el estudio de la geometría del árbol de venas del dedo o de las muñecas.

Reconocimiento de firma

Se analiza la firma del trabajador:

• por comparación simple (parecido entre dos firmas) o
• por verificación dinámica (se estudia la forma y velocidad).

Reconocimiento de escrito

Se realiza a través de un reconocimiento óptico de los caracteres por medio de un software determinado. Hay dos tipos, el estático y el dinámico.

Reconocimiento de voz

Se usan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación del trabajador.

Deben tenerse en cuenta que pueden influir factores externos como es el ruido de fondo.

Reconocimiento de escritura de teclado

Consiste en medir:

• la fuerza con la que el trabajador teclea,
• el tiempo de pulsación y
• el plazo que transcurre entre dos pulsaciones de teclado.

Reconocimiento de la forma de andar

Se analiza la forma de caminar del trabajador mediante el uso de almohadillas especiales en el suelo y una cámara de alta resolución. Lo que va a medir esta cámara de alta definición es la distribución del peso, la velocidad de pasos y el estilo de caminar.

Otras

También hay otros reconocimientos para identificar a los trabajadores como lo son el estudio de la palma de la mano, la forma de las orejas, el ADN, la piel…

¿Cuál es la base jurídica para realizar el tratamiento de estos datos?

La base jurídica a estos tratamientos la encontramos en el artículo 9 del RGPD:

• Por consentimiento explícito del interesado
• Para proteger el interés vital del interesado cuando este se encuentre incapacitado tomar decisiones
• Cuando sea necesario para el cumplimiento de obligaciones establecidas o para llevar a cabo los derechos de la protección de datos
• Si esos datos son públicos y han sido publicados por el interesado
• Por interés público esencial siempre que sea proporcional al objetivo perseguido
• Y también con fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador

Datos biométricos y Protección de Datos

Veamos qué dicen exactamente sobre los datos biométricos las dos normativas de protección de datos aplicables en España, esto es, el RGPD y la LOPDGDD.

Los datos biométricos en el RGPD

El Reglamento General de Protección de Datos europeo (RGPD), define a los datos biométricos de la siguiente manera (artículo 4.14).

“Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”

El RGPD, en su artículo 9, eleva estos datos personales a la característica de “Especialmente Protegidos”, por lo que se deberán cumplir con una serie de requisitos especiales para su tratamiento conforme a la normativa.

Los datos biométricos en la LOPDGDD

Por su parte, la actual ley orgánica de protección de datos en España apenas hace referencia a los datos biométricos y solo los menciones en las disposiciones adicionales relativas a datos relacionados con la salud.

A lo que sí hace referencia en su artículo 9, es a las categorías especiales de datos, señalando que “el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico”.

Por su parte, la disposición final undécima matiza que “si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley“.

¿Tratas con datos biométricos en tu empresa? ¿Estás pensando en implantar algún tipo de sistema biométrico?

Ten en cuenta que si vas a utilizar algún sistema de reconocimiento basado en datos biométrico tendrás que llevar un registro del tratamiento de estos datos e informar a los interesados sobre el responsable de tratamiento, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Estos sistemas de reconocimiento basados en datos biométricos son cada vez más usados por las empresas, pero en muchos casos se implantan sin saber las obligaciones que establece la ley.

Podemos ayudarte: contacta ahora con nuestro departamento jurídico

Si necesitas ayuda para la protección de dato biométricos, en Grupo Atico34 te podemos ayudar.

Somos una consultora con más de 12 años de experiencia ofreciendo servicios de protección de datos en empresas de todos los tamaños y sectores.

Contamos con un equipo de abogados y asesores cualificados y especializados en el cumplimiento de las normativas de protección de datos.

En Atico34 estamos siempre a la vanguardia y por eso estamos al tanto de cómo adaptar las nuevas soluciones tecnológicas y digitales a la ley de protección de datos.

Para darse de alta en protección de datos con nuestro servicio, solo tienes que ponerte en contacto con nosotros.Te guiaremos en todo lo que necesites.

Obligaciones de las empresas que tratan con datos biométricos

A continuación vemos las principales obligaciones que tienen las empresas para cumplir con la ley de protección de datos biométricos.

Deber de información

Aquellos que traten datos biométricos deben informar a los interesados sobre la identidad de los responsables, encargados del tratamiento o sus representantes, la finalidad del tratamiento, el plazo de conservación de datos, la cesión de datos a terceros o las vías para ejercer sus derechos ARCO.

Consentimiento de los afectados

El afectado deberá dar su consentimiento explícito al tratamiento de dichos datos, con la finalidad de dicho tratamiento especificada.

Por ejemplo, el empresario que desee instalar un control de acceso mediante el uso de estos datos deberá hacer firmar a sus empleados un escrito mediante el cual dan su consentimiento al tratamiento de los datos con fines de control de acceso

Deber de seguridad

Los responsables del tratamiento han de aplicar de manera proactiva todas las medidas necesarias para garantizar la seguridad e integridad de la información, con el objetivo de evitar la pérdida o el robo de datos o los accesos por parte de terceros no autorizados. También han de informar a la AEPD si se produce una brecha de seguridad en un plazo de72 horas.

Deber de confidencialidad

También se ha de cumplir con el deber de confidencialidad, esto es, no revelar a terceros los datos a los que se ha tenido acceso. Esto incluye la obligatoriedad de firmar un acuerdo de confidencialidad con los encargados del tratamiento o con los empleados que tengan acceso a los datos biométricos.

• *Te puede interesar: protección de datos para empleados

Evaluación de Impacto

Es obligatoria la realización de una Evaluación de Impacto del sistema que se usará para el tratamiento. A través de esta evaluación de impacto se determinarán las medidas necesarias para garantizar la protección y seguridad de los datos biométricos.

Principio de necesidad, idoneidad y proporcionalidad en el tratamiento

Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el trabajador.

El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.

El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.

Registro de las actividades de tratamiento

Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad.

Una base de datos biométricos deberá contener como mínimo la siguiente información:

• Nombre y los datos de contacto
  • Responsable
  • Encargados
  • Representante del responsable
  • Delegado de protección de datos
• Fines del tratamiento
• Descripción de las categorías de interesados y de las categorías de datos personales
• Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
• Plazos previstos para la supresión de las diferentes categorías de datos

Preguntas frecuentes

¿Se puede negar el trabajador a que se traten sus datos biométricos?

El tratamiento de estos datos biométricos para el control de acceso, identificación o control de presencia de los trabajadores en el puesto de trabajo, se puede considerar una de las medidas de seguridad física en una empresa y se basa en el artículo 20 del Estatuto de los Trabajadores. Por ello no se requiere el consentimiento expreso del empleado, aunque si se deben limitar solamente a los casos donde sea necesario.

¿Dónde y como almacenar los datos biométricos?

Los datos biométricos pueden tratarse y almacenarse de diferentes formas. En ocasiones, la información biométrica capturada de una persona se almacena y se trata en bruto, permitiendo reconocer la fuente de la que procede. Por ejemplo, un selfie o la fotografía de una cara. Otras veces, la información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica.

Las autoridades de control europeas han manifestado que sería preferible no almacenar estos datos en una base de datos concreta. Sino más bien sólo en un objeto disponible exclusivamente para el usuario. Como una tarjeta con microchip, un teléfono móvil o una tarjeta bancaria. Es decir, las aplicaciones de autenticación que se pueden llevar a cabo sin un almacenamiento centralizado de datos biométricos no debería suponer la utilización de excesivas técnicas de identificación. Además señalan que si se va a realizar tal base de datos, se debería consultar y presentar al control previo de las citadas autoridades de control.

En todo caso, resulta recomendable que la información biométrica recabada se procese y almacene de una forma segura.

¿Puedo recabar y tratar siempre que quiera datos biométricos?

No.

Habrá que realizar un juicio de proporcionalidad entre la finalidad perseguida y el medio que pretendo utilizar.

Por ejemplo, sería desproporcionado instalar un sistema que utilizaría la huella de un empleado para poder usar el servicio, en cambio, no sería desproporcionado la instalación de un sistema de tratamiento de datos biométricos para control de entrada y salida de los empleados de determinadas zonas sensibles de la entidad, sobre todo desde que es obligatorio fichar en el trabajo.

¿Es legal instalar en mi entidad un control de presencia que utilice la huella dactilar?

Es de hecho este sistema el más generalizado para el tratamiento de estos tipos de datos,  el control del cumplimiento por parte de la entidad del horario de los trabajadores así como media de seguridad adicional de acceso a las zonas restringidas.

Hay que destacar que los empresarios prefieren estos sistemas ya que no permiten la falsificación de una contraseña y guarda un registro de acceso de cada uno de los empleados (lo que se encuentra en lo más alto del estándar de seguridad).

¿Puedo contratar a un tercero para que me instale y lleve la gestión de este sistema?

Sí, pero se deberá firmar con el tercero un contrato de encargo de tratamiento con todos los requisitos que exige la ley.

Además con los nuevos principios que añade el RGPD, se deberá solicitar, previo a la realización del contrato, dicho tercero que acredite el cumplimiento de la normativa en protección de datos en su entidad, así como también que el sistema que use para el tratamiento de dichos datos cumple con los estándares exigidos en materia de seguridad.

Por tanto deberemos guardar especial cuidado si decidimos tratar esta categoría especial de datos personales y deberemos cumplir escrupulosamente con la normativa en protección de datos, tanto europea como nacional.

¿Es la huella dactilar un dato de carácter personal?

Sí.

Como sabemos un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

La huella dactilar, es única para cada persona, por lo que nos permite identificarla, por lo que, atendiéndonos a la definición dada, está claro que es un dato de carácter personal.

¿Y los rasgos faciales?

Sí.

Como hemos dicho anteriormente, si mediante cualquier tipo de información referida a la identidad, ya sea física, fisiológica, económica, cultural, etc; permite identificar a esa persona, es una persona identificable.

Y está claro que, a través de la cara se puede identificar a una persona, por lo que las características físicas de la cara son consideradas datos de carácter personal.

Conclusiones

Esperamos haberte solucionado tus dudas sobre qué son los datos biométricos y como se deben tratar conforme a la nueva regulación. Para su redacción hemos seguido la Guía sobre las tecnologías biométricas aplicadas a la ciberseguridad del Instituto Nacional de Ciberseguridad, más conocido como INCIBE.

No obstante, te recomendamos que no te quedes aquí, ya que debido a la especial protección que se exige para esta categoría de datos en la nueva normativa, hay muchas variantes a tener en cuenta, a si que si tienes alguna pregunta específica no dudes en contactar con nuestro departamento jurídico. Puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.