Hoy en día, usar la huella dactilar o el iris del ojo como sistemas de identificación es lo más normal del mundo pero, ¿sabes cómo deben protegerse esos datos biométricos?

Pero, antes de comenzar, ¡no te asustes!, quiero tratar este tema contigo para que puedas entenderlo. En especial, si utilizas datos biométricos y no sabes qué hacer para cumplir la normativa de Protección de Datos.

Uso de datos biométricos

Los sistemas de seguridad biométrica han ido avanzando como toda tecnología en los últimos años. En especial el uso de la huella dactilar como sistema de identificación y control.

Los datos biométricos se utilizan actualmente en los campos de la seguridad, la medicina y del ocio. Se usan para permitir el acceso a edificios o a zonas muy restringidas sin necesidad de utilizar tarjetas o claves de acceso que pueden transferirse fácilmente de una persona a otra.

ejemplos proteccion de datos

Una doctora española ideó un sistema de identificación de personas a través de la córnea que le valió el premio principal del Salón Internacional de Invenciones de Ginebra de 2010, considerado el Nobel de los inventos.

La Agencia Española de Protección de Datos (AEPD) ha definido el concepto de dato biométrico como aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.

Este tipo de sistemas biométricos podrían utilizarse para iniciar la sesión en un ordenador, sacar dinero del cajero o usar el teléfono móvil sin introducir una contraseña con la certeza de que no se suplantará nuestra identidad.

Riesgos derivados del uso de datos biométricos

Un dato biométrico que no es protegido adecuadamente puede facilitar la obtención de información personal sensible.

Por ejemplo, si un atacante roba la base de datos de un sistema de reconocimiento facial en el cual se almacenan fotografías, se podría inferir la raza de cada uno de los usuarios, lo que podría ser causa de discriminación u otras acciones.

Una utilización amplia y sin control de la biometría es preocupante desde el punto de vista de la Protección de los derechos y libertades fundamentales de las personas. Este tipo de datos es de una naturaleza especial. Ya que tienen que ver con las características comportamentales y fisiológicas de una persona y pueden permitir su identificación inequívoca.

Por ello, el tratamiento de datos biométricos requiere de medidas de seguridad especiales para garantizar la protección de las personas afectadas.

¿Qué dice la AEPD sobre esto?

Sobre la legitimación del tratamiento de datos biométricos en el ámbito de una relación laboral, como pueda ser el fichaje mediante huella dactilar, se ha pronunciado la AEPD en numerosas ocasiones, estableciendo que el tratamiento deberá ser:

tratamiento-datos-biometricos

  • Justificado: debe existir una finalidad que legitime el tratamiento.
  • Necesario: se exige que sea necesario en relación con la finalidad perseguida. Es decir, que no haya otros medios menos invasivos para alcanzar la finalidad que justifica el tratamiento.
  • Proporcional: debe haber un equilibrio entre la finalidad perseguida que justifique el tratamiento de los datos.
  • Consentido: el interesado deberá consentir el tratamiento de dichos datos.

Informes sobre el uso de la huella dactilar

La AEPD ha emitido varios Informes de su Gabinete Jurídico sobre este asunto valorando diferentes posibilidades de uso de datos bimétricos.

  • Informe 0368/2006. Se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos. La respuesta dada es que la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.
  • Informe 0324/2009. Se planteaba la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital. Y la cesión además del correspondiente fichero a un encargado del tratamiento. La AEPD aclara el nivel de seguridad a aplicar al correspondiente fichero. El dato biométrico de la huella digital no puede ser considerado en modo alguno dato especialmente protegido o sensible. Por lo que resultarán de aplicación al tratamiento las medidas de seguridad de nivel básico.

Consentimiento de trabajadores para el control por huella dactilar

Sobre el consentimiento de los trabajadores, si bien el artículo 6.1 de la LOPD exige el consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal, el artículo 6.2 prevé que no será preciso el consentimiento cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.

No obstante, deberá darse cumplimiento a lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999. No será preciso el consentimiento del interesado pero deberá advertirse al mismo de los extremos contenidos en ese precepto. Y, especialmente, de las consecuencias disciplinarias que podría acarrear su negativa a que la huella sea tratada.

Tratamiento de datos por terceros

Acerca del tratamiento por parte de un tercero (véase El contrato de tratamiento de datos):

De modo que la comunidad encargaría el tratamiento del dato de la huella dactilar de sus trabajadores, a la mancomunidad con la finalidad específica de control horario de trabajo, para lo cual, deberán ambas empleadoras suscribir el contrato previsto en el artículo 12 de la Ley Orgánica 15/1999, y en el Capítulo III del Título II del Reglamento que la desarrolla

En el Informe 0082/2010  la consulta se planteaba acerca de la creación de una base de datos, con la huella dactilar de los clientes, al que se otorga un código alfanumérico. La AEPD dictamina en este caso:

Atendiendo al juicio de proporcionalidad que el Tribunal Constitucional exige en la adopción de este tipo de medidas, concluimos que resulta desproporcionado, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes, cuando dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas de fidelización.

Tratamiento de Datos biométricos con el RGPD

Con el nuevo RGPD, la interpretación que se ha hecho de cómo se deben tratar los datos biométricos se ha visto afectada.

Situación actual

En la actualidad, el tratamiento de datos biométricos debe ajustarse a la vigente normativa de protección de datos, puesto que permite la identificación de las personas.

El uso de este tipo de sistemas debe ser adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades para las que se hayan obtenido. En este sentido, para la implementación de cualquier sistema biométrico se debe:

  • Determinar la finalidad para los que se recaben y traten los datos biométricos
  • Analizar la proporcionalidad del sistema biométrico propuesto.
  • Controlar que los datos biométricos tratados sean exactos y pertinentes para la finalidad para la que fueron recogidos.
  • Garantizar que la configuración por defecto promueva la protección de datos.
  • Legitimar el tratamiento de los datos biométricos. Ya sea mediante el consentimiento del interesado, contrato o interés legítimo del responsable del tratamiento.
  • Aplicar las medidas de seguridad que correspondan en función de la finalidad del tratamiento de los datos biométricos.
  • Garantizar que los datos se supriman una vez transcurrido un periodo de tiempo para el que fueron recabados.

Medidas de seguridad aplicables a los datos biométricos

Las medidas de seguridad aplicables al tratamiento de datos biométricos varían en función de la finalidad para la que se recaben dichos datos.

Por ejemplo, si la finalidad del tratamiento del dato biométrico fuese la identificación de la persona se deberán aplicar las medidas de seguridad de nivel básico. Pero si el tratamiento de dichos datos se usa con la finalidad determinar aspectos de la personalidad o del comportamiento del interesado se deberá aplicar el nivel medio. O, si se identificasen datos de salud, el nivel aplicable sería el alto. Siendo necesario disponer del consentimiento expreso del titular de los datos para poder tratarlos.

Nueva normativa

El RGPD define los datos biométricos como los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

nuevo-rgpd-datos-biometricos

 

Las principales novedades que establece la norma europea son:

  • Los datos biométricos se consideran datos sensibles y se prohibe su tratamiento. Salvo que concurra alguna de las situaciones previstas en el artículo 9 del Reglamento.
  • Obligatoriedad de realizar una Evaluación de impacto por el uso de este sistema.
  • Los Estados miembros pueden introducir disposiciones específicas con respecto al tratamiento de estos datos.
  • Se deberá disponer de mayor protección por parte del responsable y el encargado, en su caso, del tratamiento.
  • Se exige consentimiento expreso del interesado.

¿En qué casos el RGPD permite el tratamiento de datos biométricos con fines de identificación?

El artículo 9 del RGPD establece una serie de excepciones que analizaré a continuación. Y que sí permitirían el tratamiento con fines de identificación:

  • Que el interesado hubiera otorgado su consentimiento explícito para dicho tratamiento con uno o más de los fines especificados. Excepto que existiera una prohibición legal a nivel europeo o estatal sobre ello
  • En caso de que el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (la empresa o persona que trata los datos inicialmente) o del propio interesado, con relación a aspectos relativos al derecho laboral, seguridad y protección social
  • Cuando fuese necesario para proteger intereses vitales del interesado o de otra persona física, si el interesado no estuviera capacitado para dar su consentimiento
  • Si el tratamiento se refiriere a datos personales que el interesado hubiese hecho anteriormente manifiestamente públicos
  • Por interés público esencial;
  • Para fines de medicina preventiva o laboral: evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social.

El objetivo de limitar el tratamientos de datos biométricos no es otro que proteger la privacidad de los ciudadanos.

Ahora que conoces la regulación del tratamiento de datos biométricos, ¿a qué esperas para adoptar las medidas de seguridad exigidas?

¿Necesitas cumplir la LOPD?

El uso de la huella dactilar (y otros datos biométricos) y el RGPD
4.7 (94.67%) 15 votos
  1. Gracias por tu artículo. Lo cierto es que la incorporación de estos medios de reconocimiento biométrico en gestiones diarias estan cada vez mas asumidas, y la utilización de la huella dactilar ha dejado de ser ya un debate conviertiéndose en algo asumido por los usuarios.
    No obstante, cada vez que se quiere innovar introduciendo una tecnología más desarrollada pero que no se utiliza habitualmente, genera incertidumbre acerca del posicionamiento de la AEPD, aunque claro queda que su posición tiende a ser restrictiva practicamente siempre.

    Mi planteamiento es si se consideraría proporcional el uso de un medio de reconocimiento facial para el control de accesos a los clientes de unas instalaciones como medio alternativo de control de acceso cuando falla el mecanismo utilizado con la generalidad de los clientes, que es mediante la huella dactilar. Se trata de personas cuya huella presenta “suciedades” que impiden registrarla e identificarla (personas de avanzada edad con la huella muy difuminada…).

    1. Hola Sara: como muy bien dices, la innovación en tratamiento de datos siempre genera esa inquietud por la falta de claridad en muchos conceptos por parte de la Agencia (cuando no sus cambios de opinión a lo largo del tiempo). En un caso como el que citas entiendo que estaría justificado ante la falta de precisión de la huella… pero claro, la AEPD podía opinar otra cosa.


Comments are closed.