Ayuda Ley Protección Datos

Datos biométricos – ¿Qué y cuáles son? ¿Cómo cumplir con la Ley?

¿Sabes qué son los datos biométricos? ¿Y cuáles son esos datos?

Ya Orwell, a través de su obra “1984”, fue capaz de prever que los avances tecnológicos e informáticos podrían llevar al mundo a una constante vigilancia.

Actualmente nos encontramos una era de explosión informática que nos acerca rápidamente a la posibilidad de situarnos en una realidad como esta.

Y a la vez también existen cada vez más regulaciones para proteger nuestra privacidad.

Aquí tienes toda la información sobre los datos biométricos y cómo deben protegerse.

¿Qué son los datos biométricos?

Cada vez más empresas instalan métodos de identificación de trabajadores consistentes en el análisis de distintos aspectos biométricos de los mismos.

La finalidad es controlar el acceso al puesto de trabajo, para impedir accesos no autorizados a las instalaciones y controlar los horarios y presencia.

Aunque en principio pueda parecer que este tratamiento no supone ningún riesgo ni se considere un tratamiento especial, debemos tener en cuenta que la nueva normativa de protección de datos se refiere específicamente al tratamiento de datos biométricos. Y exige un marco de control exhaustivo y delimitado que debemos cumplir obligatoriamente si no queremos ser sancionados.

Definición del RGPD

Según la definición del Reglamento General de Protección de Datos (RGPD), los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única.

Por ejemplo imágenes faciales o huellas dactilares. Conceptos que os explicaré a lo largo de este post.

Así, cualquier procedimiento de identificación a través de reconocimiento facial o huella dactilar debe adaptarse obligatoriamente a los requisitos exigidos por el RGPD.

Datos biométricos son, por tanto, aquellos que posibiliten la identificación de una persona física a través de procesos técnicos, que recopilen información relativa al aspecto físico, corporal o conductual. Como su imagen facial, huella digital o similares.

La principal novedad establecida por el RGPD, que hace importante analizar el impacto que causa este tratamiento, es la modificación de la calificación de los datos biométricos como datos sensibles.

Esto supone un incremento en las medidas de seguridad a adoptar por el Responsable del Tratamiento, para otorgar una mayor protección a esta categoría especial de datos personales.

¿Cuáles son los datos biométricos?

Según su naturaleza, los datos biométricos se dividen en tres categorías principales:

La Guía del INCIBE sobre Tecnologías biométricas aplicadas a la ciberseguridad, nos da una buena muestra de tipologías de reconocimiento biométrico para esta clase de finalidades.

Por otro lado, según las características individuales que recogen, se diferencian dos grupos:

Veamos cada uno de ellos.

Huella dactilar

La huella dactilar es uno de los datos biométricos más utilizados.

Tiene importantes ventajas como su bajo coste de implantación y su sencilla adaptación. Además tiene un elevado índice de precisión.

Hay dos métodos principales para recoger las huellas dactilares:

Para ello, se emplean los sensores de huellas dactilares

Reconocimiento facial

Los sistemas de reconocimiento facial hacen posible la identificación de una persona mediante un análisis de las características biométricas de su rostro.

El rostro se analizará por determinados programas de cálculo que lo comparan con la fotografía o imagen obtenida anteriormente.

Una de las ventajas de este sistema es que es muy poco intrusivo y casi no se exige participación del usuario.

Los sistemas de reconocimiento facial existentes son:

Es importante tener en cuenta las consecuencias que la edad produce en los rostros. Y los cambios que pueden sufrir las personas llevando lentes de visión, con el vello facial, etc.

Reconocimiento del iris

El reconocimiento del iris es la técnica de identificación más fiable ya que el iris de las personas no cambia con el tiempo.

Para ese reconocimiento se utiliza una cámara de infrarrojos, que hace una fotografía al ojo, y a través de ella se obtienen los detalles del iris.

Como inconvenientes de este sistema cabe destacar que se trata de una tecnología muy costosa y es necesaria una cooperación por parte de la persona.

Reconocimiento de la geometría de la mano

Este reconocimiento se basa en la captura de una imagen en 3D de la mano de la persona. A través de ella se van a obtener todos los detalles posibles. Por ejemplo las medidas de la mano, su estructura ósea o la longitud y grosor de los dedos.

Esta técnica puede no ser muy fiable en el caso de que la persona sufra alguna lesión en la mano.

Reconocimiento de retina

El reconocimiento de retina es un buen sistema biométrico de identificación, ya que la retina, al igual que la huella dactilar, es única en cada persona.

A través de una cámara de infrarrojos se escanea la retina.

Esta técnica dificulta la suplantación de identidad pero se considera más invasivo que el reconocimiento del iris.

Reconocimiento vascular

Esta técnica biométrica consiste en el estudio de la geometría del árbol de venas del dedo o de las muñecas.

El formato de las venas es capturado a través de un proceso de diferencia de absorción de haces de luz del espectro infrarrojo. Similar a la que usan las cámaras de circuito cerrado de televisión para su visualización en ambientes sin luz visible.

Esta técnica tiene la ventaja de hacer muy difícil el robo de identidad, pero también se trata de una técnica muy costosa.

Reconocimiento de firma

El reconocimiento de firma es el sistema más utilizado en el mundo como método de autentificación.

A través de este sistema se examina la firma. Para ello pueden usarse los siguientes métodos:

En esta labor ayuda mucho la implantación de la firma biométrica, un tipo firma que se realiza de forma manuscrita sobre formato digital y de la que se pueden extraer datos propios de quien la realiza, co el trazo, la presión o la velocidad que juntos, hacen que esta sea una única.

Reconocimiento de escritura

Para el reconocimiento de escritura se utiliza un determinado software mediante el que se realiza un reconocimiento óptico de los caracteres (OCR).

Existen dos tipos de reconocimientos: estático y dinámico.

Reconocimiento de voz

Para el reconocimiento de voz se utilizan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación de esa persona.

Un inconveniente importante a tener en cuenta en este método de identificación es la influencia de factores externos como es el ruido de fondo.

Reconocimiento de escritura de teclado

Este tipo de reconocimiento analizará los siguientes elementos:

Reconocimiento de la forma de andar

Este sistema consiste en examinar la forma de caminar de la persona utilizando almohadillas especiales en el suelo y una cámara de alta resolución.

Esa cámara de alta definición medirá el reparto del peso, la rapidez de pasos y la manera de andar.

Otros tipos de reconocimientos biométricos

También hay otros reconocimientos para identificar a las personas como lo son el estudio de la palma de la mano, la forma de las orejas, el ADN, o la piel.

Protección de Datos y datos biométricos

El artículo 9 del Reglamento 2016/679 establece que los datos biométricos van a ser considerados como una categoría especial de datos personales. Por tanto, por regla general, no estará permitido su tratamiento, especialmente cuando el fin buscado sea ajeno a identificar de forma unívoca a una persona de una forma tan invasiva y cualificada.

Y establece la prohibición de tratar datos personales relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical. Al igual que el tratamiento de datos biométricos o genéticos con el fin de identificar de forma inequívoca a una persona física.

¿Cuándo pueden tratarse los datos biométricos?

Existen una serie de supuestos, establecidos en el RGPD, en los que sí estaría aceptado este tratamiento especial:

Así, el objetivo de limitar el tratamientos de datos biométricos no es otro que proteger la privacidad de los ciudadanos. Por ello, tanto el responsable como el encargado del tratamiento están obligados a realizar evaluaciones de impacto para tratar correctamente esos datos biométricos.

No existiría esa limitación en caso de que el almacenamiento de los datos biométricos no se realice con el único fin de identificar inequívocamente a un usuario. De todas formas, es recomendable tener en cuenta la protección adecuada, cumpliendo los principios y requisitos legales que establece el propio Reglamento.

La importancia de la proporcionalidad

Cualquier tratamiento de datos ha de verificar estos tres parámetros para cumplir con el principio de proporcionalidad (lo cual implica realizar una ponderación de intereses):

Pudiendo requerirse igualmente el cumplimiento de los principios de:

Ejemplo de sanción a un gimnasio

Es conocido el caso de un gimnasio de Murcia que decidió implementar un control de accesos para sus socios consistente en un mecanismo de captación de huella dactilar, sin ofrecer otro medio alternativo. Un socio denunció a la Agencia Española de Protección de Datos al entender que esta imposición era a todas luces desproporcionada para el fin que se estaba buscando (control de accesos a los servicios del gimnasio). Y que no se le solicitó en ningún momento un documento de conformidad para la recogida de sus datos biométricos.

La Agencia resolvió sancionando al gimnasio en 5.000 euros (multa que se vería reducida a 1.500 euros tras alegaciones). Para ello se basa en el hecho de que el tratamiento de los datos de reconocimiento de huella de usuarios del gimnasio para controlar el acceso es el único medio de acceder. Y el gimnasio utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas. Con ello incumple las obligaciones establecidas en la LOPD.

Este es el claro ejemplo de un uso desproporcionado de esta tecnología y de incumplimiento de los requisitos previstos en la normativa actual mencionados anteriormente.

Conclusión

Concluyendo, con la entrada en vigor del nuevo RGPD el uso de sistemas biométricos requerirá, primeramente, disponer de una evaluación de impacto, dado la especialidad y naturaleza del propio tratamiento que lo convierte en altamente intrusivo y sensible. Por ello necesariamente debemos determinar las medidas de seguridad encaminadas a impedir fugas de datos o accesos no deseados que pueda exponer información de los interesados.

En segundo lugar, debemos de verificar que existe una proporcionalidad con el fin buscado por el tratamiento. Debiendo de resultar el tratamiento de datos biométricos una parte ineludible y necesaria para conseguir ese preciso fin.

Finalmente, y esto de vital importancia, debemos recabar el consentimiento expreso de los interesados. Donde se les informe prudentemente del tipo de tratamiento, quién es el responsable y de los derechos que pueden ejercitar acordes a la nueva normativa.

Obligaciones de las empresas

Las empresas que manejan datos biométricos tienen una serie de obligaciones en cumplimiento del RGPD y la LOPDGDD.

A continuación te las detallo.

Deber de información

El responsable del tratamiento se encuentra obligado a comunicar al titular de los datos personales las características principales del tratamiento al que será sometida su información personal, así como los medios para ejercer sus derechos.

Esto lo puede hacer, para sus clientes y usuarios, en el documento que deben firmar al acceder a la empresa. Y para sus empleados, a través del acuerdo de cesión de datos que estos deben firmar al incorporarse a la empresa.

Así, en el documento de información debe indicarse:

Consentimiento de los afectados

Según el RGPD, el responsable del tratamiento debe tener siempre un consentimiento expreso del titular de los datos biométricos para poder tratarlos.

Y además, ese consentimiento debe reunir unas características. Debe ser libre, específico, informado e inequívoco.

Para ello el empleado debe firmar, bien en el propio contrato de trabajo, o en un documento específico su consentimiento para que la empresa recoja y trate sus datos biométricos. Y, si se trata de clientes o usuarios, también lo firmarán expresamente en un documento al acceder a la empresa.

Deber de Seguridad

Un pilar básico para un efectivo sistema de protección de datos personales es la seguridad de esos datos, entendida como la implementación de medidas administrativas, físicas y técnicas para garantizar y velar por la integridad, confidencialidad y disponibilidad de los datos personales.

Por lo tanto, todo responsable y encargado que lleve a cabo un tratamiento de datos biométricos deberá establecer y mantener medidas de seguridad técnicas y organizativas que permitan proteger esos datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Medidas de seguridad específicas para proteger los datos biométricos

Para decidir el tipo de medidas de seguridad a implementar, se recomienda tener en cuenta aspectos como la unicidad del dato biométrico tratado, su estabilidad en el tiempo, la posibilidad o no de usarlo para distintos fines, la posibilidad de ser obtenidos sin el conocimiento ni consentimiento del titular, y el impacto sobre el titular en caso de robo.

La empresa debe:

Deber de confidencialidad

El responsable o terceros que intervengan en cualquier fase del tratamiento de datos biométricos deberán guardar confidencialidad respecto de esos datos.

Esta obligación que subsistirá aun después de finalizar su relación con el titular, o en el caso del encargado o de un empleado, con el responsable.

Las obligaciones que derivan de esa confidencialidad son:

Evaluación de impacto

La empresa, al tratar datos biométricos que son considerados datos sensibles por el RGPD, está obligada a realizar una Evaluación de impacto.

Esto consiste en realizar un análisis de los riesgos a los que está expuesto ese tratamiento de datos biométricos y, a partir de ahí, determinar las medidas de seguridad que deben aplicarse para reducir o evitar esos riesgos.

Cuando haya tratamiento de datos personales biométricos, se recomienda que la evaluación de impacto incluya un análisis de los siguientes elementos:

También existen otros factores que deben tenerse en cuenta cuando se implementa un sistema biométrico, incluyendo:

Entre los puntos a considerar para la selección de una tecnología biométrica en particular, y para la correspondiente evaluación de impacto en la protección de datos personales, pueden incluirse los siguientes:

Herramientas para recoger datos biométricos

La industria está cada vez más interesada en esta tecnología por los múltiples beneficios que aporta.

Sin embargo, existe aún una deficiencia de software o herramientas para la recogida de datos biométricos. Los proveedores de soluciones biométricas distribuyen software propio para sus productos. Y esto hace muy difícil a las empresas cambiar de proveedor.

El organismo que regula, a nivel mundial, las actividades de normalización biométrica es el Sub-Comité 17 (SC17) del Joint Technical Committee on Information Technology (ISO/IEC JTC1), del International Organization for Standardization (ISO) y el International Electrotechnical Commission (IEC).

También existen entidades no gubernamentales que introducen iniciativas en materias biométricas como Biometrics Consortium, International Biometrics Groups y BioAPI.

A continuación te indico los principales fabricantes de dispositivos para recopilar datos biométricos.

Nitgen

Esta empresa fabrica sensores de huella dactilar, lectores y sistemas biométricos. Es líder mundial en tecnología y aplicaciones biométricas. Sus principales productos son para el reconocimiento de huella dactilar.

Hanvon

Son desarrolladores y distribuyen sistemas y productos relacionados con el reconocimiento biométrico facial, como el Face ID.

Kimaldi

Esta empresa es fabricante y mayorista de productos de gran calidad para la identificación de personas, control de acceso, control de presencia, control de producción y trazabilidad de personas. Es especialista en sistemas electrónicos para identificación automática.

Robotics

Es otro fabricante de dispositivos de identificación biométrica a través de huella digital o reconocimiento facial para el control de accesos.

B+Safe

Empresa que ofrece soluciones tecnológicas de valor añadido vinculadas a la salud y seguridad de las empresas, especialistas en el área de Biometría. Ofrece lectores de huella dactilar y de reconocimiento de las venas de los dedos.

Preguntas frecuentes

¿Qué son los sistemas biométricos de identificación?

Un sistema biométrico es aquel a través del cuál puede codificarse, medirse, almacenarse, compararse o reconocerse alguna característica propia de una persona, con cierto nivel de exactitud y seguridad.

Serán considerados como datos biométricos aquellos que habiliten a identificar a una persona física a través de procedimientos de carácter técnico que almacenen información relativa al aspecto físico, corporal, conductual. Tales como su imagen facial, huella digital o análogos.

Se exige un potente software para un correcto funcionamiento de estos sistemas con distintas fases en las que participan distintos campos de la informática, como son:

¿Qué es un control biométrico?

Un control biométrico puede definirse como el proceso a través del cuál puede identificarse a los usuarios por alguna de sus condiciones biológicas.

Este sistema de identificación, mediante el reconocimiento de los usuarios, permite o deniega la entrada a edificios. También permite saber quién ha accedido a las instalaciones y a qué hora lo ha hecho e incluso llevar un registro de ello.

Estos sistemas tienen gran utilidad tanto en viviendas y complejos residenciales como en comercios, naves industriales, oficinas, bibliotecas, residencias, laboratorios, etc.

¿Qué es la autenticación biométrica?

La Autentificación biométrica (AB) se basa en la verificación de la identidad de un sujeto, considerando ciertos detalles morfológicos que sólo existen en ese sujeto.

Es decir, a través de la AB se recoge información referente a un rasgo distintivo de una persona (su voz, su huella dactilar), para cotejar esa muestra con otra, recogida normalmente en el mismo momento, y poder comprobar si son iguales o no.

¿Qué tecnología biométrica es la más segura?

Pese a que todos los sistemas trabajan con distintos parámetros y es difícil determinar cuál resulta más seguro, los especialistas suelen recomendar el reconocimiento de iris como una alternativa a la huella digital.

Este sistema posee diversas ventajas más allá de ser mucho más complejo de falsificar, como que no requiere contacto directo con el dispositivo, evitando problemas derivados de la suciedad o el polvo.