Datos biométricos – ¿Qué y cuáles son? ¿Cómo cumplir con la Ley?

¿Sabes qué son los datos biométricos? ¿Y cuáles son esos datos?

Ya Orwell, a través de su obra “1984”, fue capaz de prever que los avances tecnológicos e informáticos podrían llevar al mundo a una constante vigilancia.

Actualmente nos encontramos una era de explosión informática que nos acerca rápidamente a la posibilidad de situarnos en una realidad como esta.

Y a la vez también existen cada vez más regulaciones para proteger nuestra privacidad.

Aquí tienes toda la información sobre los datos biométricos y cómo deben protegerse.

¿Qué son los datos biométricos?

Cada vez más empresas instalan métodos de identificación de trabajadores consistentes en el análisis de distintos aspectos biométricos de los mismos.

La finalidad es controlar el acceso al puesto de trabajo, para impedir accesos no autorizados a las instalaciones y controlar los horarios y presencia.

Aunque en principio pueda parecer que este tratamiento no supone ningún riesgo ni se considere un tratamiento especial, debemos tener en cuenta que la nueva normativa de protección de datos se refiere específicamente al tratamiento de datos biométricos. Y exige un marco de control exhaustivo y delimitado que debemos cumplir obligatoriamente si no queremos ser sancionados.

Definición del RGPD

Según la definición del Reglamento General de Protección de Datos (RGPD), los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única.

Por ejemplo imágenes faciales o huellas dactilares. Conceptos que os explicaré a lo largo de este post.

Así, cualquier procedimiento de identificación a través de reconocimiento facial o huella dactilar debe adaptarse obligatoriamente a los requisitos exigidos por el RGPD.

Datos biométricos son, por tanto, aquellos que posibiliten la identificación de una persona física a través de procesos técnicos, que recopilen información relativa al aspecto físico, corporal o conductual. Como su imagen facial, huella digital o similares.

La principal novedad establecida por el RGPD, que hace importante analizar el impacto que causa este tratamiento, es la modificación de la calificación de los datos biométricos como datos sensibles.

Esto supone un incremento en las medidas de seguridad a adoptar por el Responsable del Tratamiento, para otorgar una mayor protección a esta categoría especial de datos personales.

¿Cuáles son los datos biométricos?

Según su naturaleza, los datos biométricos se dividen en tres categorías principales:

• Universal: es el dato que existe en todas las personas sin distinción
• Único: dato distinguible en cada individuo
• Permanente: dato mantenido de forma continua

La Guía del INCIBE sobre Tecnologías biométricas aplicadas a la ciberseguridad, nos da una buena muestra de tipologías de reconocimiento biométrico para esta clase de finalidades.

Por otro lado, según las características individuales que recogen, se diferencian dos grupos:

• Características físicas y fisiológicas
  • Huella dactilar
  • Reconocimiento facial
  • Reconocimiento de iris
  • Geometría de la mano
  • Reconocimiento de retina
  • Reconocimiento vascular
• Características del comportamiento y la personalidad
  • Reconocimiento de firma
  • Reconocimiento de escritura
  • Reconocimiento de voz
  • Reconocimiento de escritura de teclado
  • Reconocimiento de la forma de andar

Veamos cada uno de ellos.

Huella dactilar

La huella dactilar es uno de los datos biométricos más utilizados.

Tiene importantes ventajas como su bajo coste de implantación y su sencilla adaptación. Además tiene un elevado índice de precisión.

Hay dos métodos principales para recoger las huellas dactilares:

• “Basado en minucias”: a través de este se identifican las formas de la huella dactilar y su ubicación dentro de ella
• “Basado en correlación”, aquí se examina la huella dactilar de manera integral

Para ello, se emplean los sensores de huellas dactilares

Reconocimiento facial

Los sistemas de reconocimiento facial hacen posible la identificación de una persona mediante un análisis de las características biométricas de su rostro.

El rostro se analizará por determinados programas de cálculo que lo comparan con la fotografía o imagen obtenida anteriormente.

Una de las ventajas de este sistema es que es muy poco intrusivo y casi no se exige participación del usuario.

Los sistemas de reconocimiento facial existentes son:

• Geométricos: tienen en cuenta los rasgos faciales del individuo: ojos, nariz, boca, etc. También usan evaluaciones de los ángulos de la cara y cálculos de distancias entre los distintos rasgos
• Fotométricos, proporcionan información de manera global, del rostro completo
• Mixtos, estos añaden elementos de los dos anteriores

Es importante tener en cuenta las consecuencias que la edad produce en los rostros. Y los cambios que pueden sufrir las personas llevando lentes de visión, con el vello facial, etc.

Reconocimiento del iris

El reconocimiento del iris es la técnica de identificación más fiable ya que el iris de las personas no cambia con el tiempo.

Para ese reconocimiento se utiliza una cámara de infrarrojos, que hace una fotografía al ojo, y a través de ella se obtienen los detalles del iris.

Como inconvenientes de este sistema cabe destacar que se trata de una tecnología muy costosa y es necesaria una cooperación por parte de la persona.

Reconocimiento de la geometría de la mano

Este reconocimiento se basa en la captura de una imagen en 3D de la mano de la persona. A través de ella se van a obtener todos los detalles posibles. Por ejemplo las medidas de la mano, su estructura ósea o la longitud y grosor de los dedos.

Esta técnica puede no ser muy fiable en el caso de que la persona sufra alguna lesión en la mano.

Reconocimiento de retina

El reconocimiento de retina es un buen sistema biométrico de identificación, ya que la retina, al igual que la huella dactilar, es única en cada persona.

A través de una cámara de infrarrojos se escanea la retina.

Esta técnica dificulta la suplantación de identidad pero se considera más invasivo que el reconocimiento del iris.

Reconocimiento vascular

Esta técnica biométrica consiste en el estudio de la geometría del árbol de venas del dedo o de las muñecas.

El formato de las venas es capturado a través de un proceso de diferencia de absorción de haces de luz del espectro infrarrojo. Similar a la que usan las cámaras de circuito cerrado de televisión para su visualización en ambientes sin luz visible.

Esta técnica tiene la ventaja de hacer muy difícil el robo de identidad, pero también se trata de una técnica muy costosa.

Reconocimiento de firma

El reconocimiento de firma es el sistema más utilizado en el mundo como método de autentificación.

A través de este sistema se examina la firma. Para ello pueden usarse los siguientes métodos:

• Cotejo simple (parecido entre dos firmas)
• Prueba dinámica (se estudia la forma y velocidad)

En esta labor ayuda mucho la implantación de la firma biométrica, un tipo firma que se realiza de forma manuscrita sobre formato digital y de la que se pueden extraer datos propios de quien la realiza, co el trazo, la presión o la velocidad que juntos, hacen que esta sea una única.

Reconocimiento de escritura

Para el reconocimiento de escritura se utiliza un determinado software mediante el que se realiza un reconocimiento óptico de los caracteres (OCR).

Existen dos tipos de reconocimientos: estático y dinámico.

Reconocimiento de voz

Para el reconocimiento de voz se utilizan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación de esa persona.

Un inconveniente importante a tener en cuenta en este método de identificación es la influencia de factores externos como es el ruido de fondo.

Reconocimiento de escritura de teclado

Este tipo de reconocimiento analizará los siguientes elementos:

• La energía con la que la persona teclea
• El tiempo de pulsación
• El tiempo transcurrido entre dos pulsaciones de teclado

Reconocimiento de la forma de andar

Este sistema consiste en examinar la forma de caminar de la persona utilizando almohadillas especiales en el suelo y una cámara de alta resolución.

Esa cámara de alta definición medirá el reparto del peso, la rapidez de pasos y la manera de andar.

Otros tipos de reconocimientos biométricos

También hay otros reconocimientos para identificar a las personas como lo son el estudio de la palma de la mano, la forma de las orejas, el ADN, o la piel.

Protección de Datos y datos biométricos

El artículo 9 del Reglamento 2016/679 establece que los datos biométricos van a ser considerados como una categoría especial de datos personales. Por tanto, por regla general, no estará permitido su tratamiento, especialmente cuando el fin buscado sea ajeno a identificar de forma unívoca a una persona de una forma tan invasiva y cualificada.

Y establece la prohibición de tratar datos personales relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical. Al igual que el tratamiento de datos biométricos o genéticos con el fin de identificar de forma inequívoca a una persona física.

¿Cuándo pueden tratarse los datos biométricos?

Existen una serie de supuestos, establecidos en el RGPD, en los que sí estaría aceptado este tratamiento especial:

• Si el interesado hubiera otorgado su consentimiento explícito para dicho tratamiento con uno o más de los fines especificados. Salvo que hubiera una prohibición legal a nivel europeo o estatal sobre ello
• Cuando el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (la empresa o persona que trata los datos inicialmente) o del propio interesado, con relación a aspectos relativos al derecho laboral, seguridad y protección social
• Si fuese necesario para proteger intereses vitales del interesado o de otra persona física, si el interesado no estuviera capacitado para dar su consentimiento
• Cuando el tratamiento se refiriera a datos personales que el interesado hubiese hecho anteriormente manifiestamente públicos
• Interés público esencial
• Para fines de medicina preventiva o laboral:
  • Evaluación de la capacidad laboral del trabajador
  • Diagnóstico médico
  • Prestación de asistencia
  • Tratamiento de tipo sanitario o social

Así, el objetivo de limitar el tratamientos de datos biométricos no es otro que proteger la privacidad de los ciudadanos. Por ello, tanto el responsable como el encargado del tratamiento están obligados a realizar evaluaciones de impacto para tratar correctamente esos datos biométricos.

No existiría esa limitación en caso de que el almacenamiento de los datos biométricos no se realice con el único fin de identificar inequívocamente a un usuario. De todas formas, es recomendable tener en cuenta la protección adecuada, cumpliendo los principios y requisitos legales que establece el propio Reglamento.

La importancia de la proporcionalidad

Cualquier tratamiento de datos ha de verificar estos tres parámetros para cumplir con el principio de proporcionalidad (lo cual implica realizar una ponderación de intereses):

• Idoneidad: si con ella se consigue el objetivo perseguido
• Necesidad: si no existe una medida alternativa de igual eficacia para conseguir los fines perseguidos. Por ejemplo, tarjetas identificativas, etiquetas RFID, banda magnética que no requieren el uso de datos biométricos son igual de factibles y eficaces
• Proporcionalidad estricta: su uso genera más beneficios para el interés general frente a los perjuicios para los derechos fundamentales objeto de conflicto. Por ejemplo, la comodidad o el ligero ahorro frente a la pérdida de intimidad e incluso la seguridad de los datos no la hace apropiada

Pudiendo requerirse igualmente el cumplimiento de los principios de:

• Intervención mínima
• Minimización de datos
• Conservación de los datos.

Ejemplo de sanción a un gimnasio

Es conocido el caso de un gimnasio de Murcia que decidió implementar un control de accesos para sus socios consistente en un mecanismo de captación de huella dactilar, sin ofrecer otro medio alternativo. Un socio denunció a la Agencia Española de Protección de Datos al entender que esta imposición era a todas luces desproporcionada para el fin que se estaba buscando (control de accesos a los servicios del gimnasio). Y que no se le solicitó en ningún momento un documento de conformidad para la recogida de sus datos biométricos.

La Agencia resolvió sancionando al gimnasio en 5.000 euros (multa que se vería reducida a 1.500 euros tras alegaciones). Para ello se basa en el hecho de que el tratamiento de los datos de reconocimiento de huella de usuarios del gimnasio para controlar el acceso es el único medio de acceder. Y el gimnasio utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas. Con ello incumple las obligaciones establecidas en la LOPD.

Este es el claro ejemplo de un uso desproporcionado de esta tecnología y de incumplimiento de los requisitos previstos en la normativa actual mencionados anteriormente.

Conclusión

Concluyendo, con la entrada en vigor del nuevo RGPD el uso de sistemas biométricos requerirá, primeramente, disponer de una evaluación de impacto, dado la especialidad y naturaleza del propio tratamiento que lo convierte en altamente intrusivo y sensible. Por ello necesariamente debemos determinar las medidas de seguridad encaminadas a impedir fugas de datos o accesos no deseados que pueda exponer información de los interesados.

En segundo lugar, debemos de verificar que existe una proporcionalidad con el fin buscado por el tratamiento. Debiendo de resultar el tratamiento de datos biométricos una parte ineludible y necesaria para conseguir ese preciso fin.

Finalmente, y esto de vital importancia, debemos recabar el consentimiento expreso de los interesados. Donde se les informe prudentemente del tipo de tratamiento, quién es el responsable y de los derechos que pueden ejercitar acordes a la nueva normativa.

Obligaciones de las empresas

Las empresas que manejan datos biométricos tienen una serie de obligaciones en cumplimiento del RGPD y la LOPDGDD.

A continuación te las detallo.

Deber de información

El responsable del tratamiento se encuentra obligado a comunicar al titular de los datos personales las características principales del tratamiento al que será sometida su información personal, así como los medios para ejercer sus derechos.

Esto lo puede hacer, para sus clientes y usuarios, en el documento que deben firmar al acceder a la empresa. Y para sus empleados, a través del acuerdo de cesión de datos que estos deben firmar al incorporarse a la empresa.

Así, en el documento de información debe indicarse:

• Que se recabarán datos biométricos, especificando su tipo (por ejemplo, huellas dactilares o iris)
• Finalidades para las cuales serán tratados los datos biométricos, entre ellas el reconocimiento de los titulares.
• Si van a transferirse o cederse a terceros esos datos biométricos, y los datos de esos destinatarios.
• Los medios para ejercer los derechos de acceso, rectificación, cancelación, oposición o limitación por los titulares.

Consentimiento de los afectados

Según el RGPD, el responsable del tratamiento debe tener siempre un consentimiento expreso del titular de los datos biométricos para poder tratarlos.

Y además, ese consentimiento debe reunir unas características. Debe ser libre, específico, informado e inequívoco.

Para ello el empleado debe firmar, bien en el propio contrato de trabajo, o en un documento específico su consentimiento para que la empresa recoja y trate sus datos biométricos. Y, si se trata de clientes o usuarios, también lo firmarán expresamente en un documento al acceder a la empresa.

Deber de Seguridad

Un pilar básico para un efectivo sistema de protección de datos personales es la seguridad de esos datos, entendida como la implementación de medidas administrativas, físicas y técnicas para garantizar y velar por la integridad, confidencialidad y disponibilidad de los datos personales.

Por lo tanto, todo responsable y encargado que lleve a cabo un tratamiento de datos biométricos deberá establecer y mantener medidas de seguridad técnicas y organizativas que permitan proteger esos datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Medidas de seguridad específicas para proteger los datos biométricos

Para decidir el tipo de medidas de seguridad a implementar, se recomienda tener en cuenta aspectos como la unicidad del dato biométrico tratado, su estabilidad en el tiempo, la posibilidad o no de usarlo para distintos fines, la posibilidad de ser obtenidos sin el conocimiento ni consentimiento del titular, y el impacto sobre el titular en caso de robo.

La empresa debe:

• Revisar que la tecnología biométrica contemple mecanismos de cifrado en el almacenamiento y el tránsito de los datos.
• Restringir el acceso a los datos biométricos únicamente a personal autorizado.
• Guardar todos los accesos a los datos biométricos.
• Evitar cruces de información innecesarios entre los sistemas biométricos y otros sistemas de tratamiento.
• Se sugiere adquirir sistemas biométricos que almacenen únicamente la plantilla con minucias de huellas dactilares en lugar de la representación completa de la misma para que sea más difícil su recreación en caso de que la información sea robada.
• Minimizar el uso de bases de datos centralizadas para el almacenamiento de biométricos.
• Contar con un sitio alterno para resguardar las bases de datos biométricos, el cual deberá estar provisto con las medidas de seguridad suficientes.

Deber de confidencialidad

El responsable o terceros que intervengan en cualquier fase del tratamiento de datos biométricos deberán guardar confidencialidad respecto de esos datos.

Esta obligación que subsistirá aun después de finalizar su relación con el titular, o en el caso del encargado o de un empleado, con el responsable.

Las obligaciones que derivan de esa confidencialidad son:

• Guardar secreto respecto de los datos biométricos en cualquier fase del tratamiento, incluso después de finalizar la relación con el titular.
• Verificar que los encargados del tratamiento también guarden confidencialidad de los datos personales que manejan por cuenta del responsable, aun después de concluida la relación con éste.
• Establecer controles o mecanismos que tengan por objeto que todas las personas que intervengan en cualquier fase del tratamiento de los datos biométricos, incluidos los propios empleados del responsable, eviten la divulgación de éstos.
• No difundir datos biométricos a terceros sin consentimiento de su titular.
• Definir claramente al personal autorizado para tener acceso y para tratar datos biométricos dentro de la organización, o bien, por terceros que actúen a nombre y por cuenta del responsable. Al respecto, se considera pertinente el uso de cláusulas contractuales que delimiten las obligaciones de los empleados dentro de la empresa, así como del encargado.

Evaluación de impacto

La empresa, al tratar datos biométricos que son considerados datos sensibles por el RGPD, está obligada a realizar una Evaluación de impacto.

Esto consiste en realizar un análisis de los riesgos a los que está expuesto ese tratamiento de datos biométricos y, a partir de ahí, determinar las medidas de seguridad que deben aplicarse para reducir o evitar esos riesgos.

Cuando haya tratamiento de datos personales biométricos, se recomienda que la evaluación de impacto incluya un análisis de los siguientes elementos:

• Si los datos biométricos resultan necesarios y efectivos para atender una necesidad en específico de la empresa
• La comparación del beneficio obtenido por el uso de los datos biométricos versus el coste por una posible violación del RGPD y LOPDGDD
• La existencia de una forma menos invasiva para lograr el fin que se persigue.

También existen otros factores que deben tenerse en cuenta cuando se implementa un sistema biométrico, incluyendo:

• Su localización
• Riesgos en la seguridad
• Si se hará una verificación o una identificación
• Número de usuarios finales
• Circunstancias de los usuarios
• Datos existentes

Entre los puntos a considerar para la selección de una tecnología biométrica en particular, y para la correspondiente evaluación de impacto en la protección de datos personales, pueden incluirse los siguientes:

• El medio ambiente
• La necesidad de velocidad en la transacción
• Los costes asociados con la obtención y almacenamiento de plantillas y reconocimientos de conductas biométricas
• Tamaño de la población y demografía
• Ergonomía
• Interoperabilidad con sistemas existentes

Herramientas para recoger datos biométricos

La industria está cada vez más interesada en esta tecnología por los múltiples beneficios que aporta.

Sin embargo, existe aún una deficiencia de software o herramientas para la recogida de datos biométricos. Los proveedores de soluciones biométricas distribuyen software propio para sus productos. Y esto hace muy difícil a las empresas cambiar de proveedor.

El organismo que regula, a nivel mundial, las actividades de normalización biométrica es el Sub-Comité 17 (SC17) del Joint Technical Committee on Information Technology (ISO/IEC JTC1), del International Organization for Standardization (ISO) y el International Electrotechnical Commission (IEC).

También existen entidades no gubernamentales que introducen iniciativas en materias biométricas como Biometrics Consortium, International Biometrics Groups y BioAPI.

A continuación te indico los principales fabricantes de dispositivos para recopilar datos biométricos.

Nitgen

Esta empresa fabrica sensores de huella dactilar, lectores y sistemas biométricos. Es líder mundial en tecnología y aplicaciones biométricas. Sus principales productos son para el reconocimiento de huella dactilar.

Hanvon

Son desarrolladores y distribuyen sistemas y productos relacionados con el reconocimiento biométrico facial, como el Face ID.

Kimaldi

Esta empresa es fabricante y mayorista de productos de gran calidad para la identificación de personas, control de acceso, control de presencia, control de producción y trazabilidad de personas. Es especialista en sistemas electrónicos para identificación automática.

Robotics

Es otro fabricante de dispositivos de identificación biométrica a través de huella digital o reconocimiento facial para el control de accesos.

B+Safe

Empresa que ofrece soluciones tecnológicas de valor añadido vinculadas a la salud y seguridad de las empresas, especialistas en el área de Biometría. Ofrece lectores de huella dactilar y de reconocimiento de las venas de los dedos.

Preguntas frecuentes

¿Qué son los sistemas biométricos de identificación?

Un sistema biométrico es aquel a través del cuál puede codificarse, medirse, almacenarse, compararse o reconocerse alguna característica propia de una persona, con cierto nivel de exactitud y seguridad.

Serán considerados como datos biométricos aquellos que habiliten a identificar a una persona física a través de procedimientos de carácter técnico que almacenen información relativa al aspecto físico, corporal, conductual. Tales como su imagen facial, huella digital o análogos.

Se exige un potente software para un correcto funcionamiento de estos sistemas con distintas fases en las que participan distintos campos de la informática, como son:

• reconocimiento de formas,
• inteligencia artificial,
• aprendizaje y
• complicados algoritmos matemáticos.

¿Qué es un control biométrico?

Un control biométrico puede definirse como el proceso a través del cuál puede identificarse a los usuarios por alguna de sus condiciones biológicas.

Este sistema de identificación, mediante el reconocimiento de los usuarios, permite o deniega la entrada a edificios. También permite saber quién ha accedido a las instalaciones y a qué hora lo ha hecho e incluso llevar un registro de ello.

Estos sistemas tienen gran utilidad tanto en viviendas y complejos residenciales como en comercios, naves industriales, oficinas, bibliotecas, residencias, laboratorios, etc.

¿Qué es la autenticación biométrica?

La Autentificación biométrica (AB) se basa en la verificación de la identidad de un sujeto, considerando ciertos detalles morfológicos que sólo existen en ese sujeto.

Es decir, a través de la AB se recoge información referente a un rasgo distintivo de una persona (su voz, su huella dactilar), para cotejar esa muestra con otra, recogida normalmente en el mismo momento, y poder comprobar si son iguales o no.

¿Qué tecnología biométrica es la más segura?

Pese a que todos los sistemas trabajan con distintos parámetros y es difícil determinar cuál resulta más seguro, los especialistas suelen recomendar el reconocimiento de iris como una alternativa a la huella digital.

Este sistema posee diversas ventajas más allá de ser mucho más complejo de falsificar, como que no requiere contacto directo con el dispositivo, evitando problemas derivados de la suciedad o el polvo.