¿Utilizas en tu empresa un sistema de identificación a través de huella dactilar?

¿Tienes implantado un control de accesos basado en un reconocimiento facial o del iris?

Entonces manejas datos llamados biométricos. Y debes saber que necesitas protegerlos de manera especial puesto que el RGPD los considera datos sensibles.

En este post te indico toda la información para manejar y proteger los datos biométricos en tu empresa.

Tratamiento de datos biométricos

El RGPD define los datos biométricos como «categorías especiales de datos personales» y prohíbe su «procesamiento», lo que protege a las personas de que su información se comparta con terceros sin su consentimiento.

Sin embargo, también introduce algunas excepciones con las que sí podrán tratarse ese tipo de datos:

  • Si existe un consentimiento expreso del afectado
  • Cuando resulte necesario para cumplir obligaciones laborales o de seguridad social
  • Si es necesario para proteger intereses vitales de la persona
  • En caso de ser esencial para reclamaciones judiciales
  • Cuando sea necesario por razones de interés público.

En el caso de las empresas, la justificación del uso de esos sistemas de recogida de datos biométricos estaría en el cumplimiento de obligaciones laborales.

Principios de la protección de datos biométricos

Las empresas que manejen datos biométricos deben tener en cuenta una serie de principios establecidos tanto en el RGPD como en la LOPDGDD para garantizar un tratamiento adecuado.

Licitud

Este principio consiste en que los datos biométricos deben tratarse de acuerdo a lo establecido en la normativa de Protección de Datos.

Esto significa que los responsables del tratamiento sólo podrán crear bases de datos que contengan datos personales sensibles:

  • Si justifican su creación para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiguen.
  • Por disposición legal
  • Para el ejercicio de derechos de terceros.

La empresa debe:

  • Conocer la normativa que se aplica a la actividad en la que son tratados los datos biométricos, a fin de verificar que la misma prevea el uso de este tipo de datos y en qué términos lo hace. O bien, que la misma no lo prohíba.
  • Analizar si el uso de los datos biométricos está debidamente justificado según la finalidad de la que se trate.

Lealtad

Esto significa que la empresa no puede obtener esos datos de manera engañosa o fraudulenta. Y debe respetar la privacidad del trabajador, es decir, su confianza en que esos datos serán tratados adecuadamente.

Según este principio, la empresa debe:

  • Utilizar medios que estén permitidos por la ley para obtener los datos biométricos.
  • Verificar que en el acuerdo de cesión de datos del empleado se señale de manera expresa el tratamiento de los datos biométricos y que esté incluida la finalidad para la cual se utilizarán.
  • Tener especial cuidado en el tratamiento de datos biométrico, para que este se adecúe a lo informado al titular.

Finalidad

En atención a este principio, esos datos sólo pueden ser tratados para cumplir con la finalidad o finalidades que hayan sido informadas al titular y, en su caso, consentidas por éste, o bien, para aquellas finalidades que sean compatibles o análogas.

En este caso, la empresa:

  • Indicará en el acuerdo de cesión de datos la o las finalidades para las cuales serán tratados los datos biométricos recolectados.
  • No tratará los datos biométricos del titular para finalidades distintas, que no resulten compatibles o análogas a aquéllas para las cuales fueron recabados, por ejemplo, para conocer su estado de salud en el caso de que se hayan recabado para el control de acceso a instalaciones.
  • Cuando los datos biométricos que se recaben se consideren sensibles, las finalidades para las cuales se recaben y traten los datos biométricos deberán estar debidamente justificadas. Y deberán ser legítimas, concretas y acordes con las actividades del responsable.

Proporcionalidad

Según este principio únicamente podrán tratarse los datos biométricos que resulten necesarios, adecuados y relevantes en relación con las finalidades para las que se hayan obtenido y de las que se haya informado previamente.

En este caso, se debe:

  • Analizar si la recogida de esos datos biométricos es necesaria para la finalidad pretendida.
  • Priorizar el uso de datos que no sean biométricos para lograr la misma finalidad sin restarle efectividad.
  • Obtener y utilizar únicamente los datos biométricos que sean necesarios, adecuados y no excesivos para las finalidades para las que fueron recabados. Por ejemplo, se recomienda adquirir sistemas biométricos en donde se eliminen las muestras biométricas inicialmente recolectadas y se almacenen únicamente las plantillas obtenidas de dichas muestras y que son las que se utilizarán para futuras comparaciones.
  • Recoger y tratar el número mínimo de datos biométricos necesarios para la finalidad para la cual se están recolectando. Por ejemplo, para los procesos de control de acceso, es
    recomendable priorizar sistemas biométricos de verificación sobre los de identificación.
  • Evitar o limitar al máximo la recogida de datos biométricos que pudieran revelar datos sensibles no necesarios para las finalidades legítimas que se persiguen. Por ejemplo, la muestra del iris usada para control de acceso podría revelar información sobre el estado de salud de la persona, la cual es excesiva para dicha finalidad.

Calidad

El principio de calidad significa que esos datos biométricos sean:

  • Exactos: revelen la situación real del titular.
  • Pertinentes: corresponden efectivamente al titular y son adecuados para realizar la finalidad para la cual fueron recabados.
  • Actualizados: están al día.
  • Correctos: no tienen errores o defectos.

Recomendaciones para la empresa:

  • Adoptar todas las medidas razonables para garantizar que los datos biométricos en su poder sean exactos, completos, pertinentes y actualizados.
  • No conservar los datos biométricos por un plazo superior al necesario para cumplir con la finalidad para la que se han recogido. Por ejemplo, si los datos biométricos de un empleado han sido obtenidos para controlar el acceso a las instalaciones o sistemas informáticos del empleador, dichos datos deberían eliminarse tan pronto como concluya el plazo en el que se puedan utilizar para un procedimiento jurídico o administrativo, o bien, se termine la relación laboral.

Responsabilidad

El responsable deberá velar por el cumplimiento de los principios de protección de datos personales, respecto a los datos que se encuentren bajo su custodia o aquéllos que haya comunicado a un encargado. Así como rendir cuentas de su tratamiento.

El responsable del tratamiento puede usar mejores prácticas internacionales, estándares, políticas corporativas o cualquier otro sistema que considere adecuado para cumplir ese principio de responsabilidad.

En todo caso, la empresa debe:

  • Establecer procedimientos para que se evalúe y atienda el riesgo por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios que impliquen el tratamiento de datos biométricos. Así como para mitigar los riesgos identificados.
  • Tener en cuenta la Privacidad por Diseño (es decir, tomar en cuenta los principios rectores de la protección de datos personales desde la fase inicial de diseño de cualquier desarrollo tecnológico) y, en su caso, Evaluaciones de Impacto sobre Protección de Datos Personales.
  • Vigilar y documentar el desempeño del personal y prever acciones disciplinarias apropiadas y proporcionales para aquellos empleados que no cumplan debidamente sus deberes en el manejo de datos personales, incluidos los datos biométricos.
  • Asegurarse que los servicios prestados por cualquier encargado que realice tratamiento de datos biométricos a nombre y por cuenta del responsable sea adecuado a lo establecido en esta normativa de Protección de Datos.
  • Supervisar constantemente las actividades realizadas por proveedores externos que ofrezcan servicios que involucren el tratamiento de datos biométricos.
  • Adoptar esquemas de autorregulación vinculante o buenas prácticas en el tratamiento de datos biométricos.

Obligaciones de las empresas

Las empresas que manejan datos biométricos tienen una serie de obligaciones en cumplimiento del RGPD y la LOPDGDD.

A continuación te las detallo.

Deber de información

El responsable del tratamiento se encuentra obligado a comunicar al titular de los datos personales las características principales del tratamiento al que será sometida su información personal, así como los medios para ejercer sus derechos.

Esto lo puede hacer, para sus clientes y usuarios, en el documento que deben firmar al acceder a la empresa. Y para sus empleados, a través del acuerdo de cesión de datos que estos deben firmar al incorporarse a la empresa.

Así, en el documento de información debe indicarse:

  • Que se recabarán datos biométricos, especificando su tipo (por ejemplo, huellas dactilares o iris)
  • Finalidades para las cuales serán tratados los datos biométricos, entre ellas el reconocimiento de los titulares.
  • Si van a transferirse o cederse a terceros esos datos biométricos, y los datos de esos destinatarios.
  • Los medios para ejercer los derechos de acceso, rectificación, cancelación, oposición o limitación por los titulares.

Consentimiento de los afectados

Según el RGPD, el responsable del tratamiento debe tener siempre un consentimiento expreso del titular de los datos biométricos para poder tratarlos.

Y además, ese consentimiento debe reunir unas características. Debe ser libre, específico, informado e inequívoco.

Para ello el empleado debe firmar, bien en el propio contrato de trabajo, o en un documento específico su consentimiento para que la empresa recoja y trate sus datos biométricos. Y, si se trata de clientes o usuarios, también lo firmarán expresamente en un documento al acceder a la empresa.

Deber de Seguridad

Un pilar básico para un efectivo sistema de protección de datos personales es la seguridad de esos datos, entendida como la implementación de medidas administrativas, físicas y técnicas para garantizar y velar por la integridad, confidencialidad y disponibilidad de los datos personales.

Por lo tanto, todo responsable y encargado que lleve a cabo un tratamiento de datos biométricos deberá establecer y mantener medidas de seguridad técnicas y organizativas que permitan proteger esos datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

Medidas de seguridad específicas para proteger los datos biométricos

Para decidir el tipo de medidas de seguridad a implementar, se recomienda tener en cuenta aspectos como la unicidad del dato biométrico tratado, su estabilidad en el tiempo, la posibilidad o no de usarlo para distintos fines, la posibilidad de ser obtenidos sin el conocimiento ni consentimiento del titular, y el impacto sobre el titular en caso de robo.

La empresa debe:

  • Revisar que la tecnología biométrica contemple mecanismos de cifrado en el almacenamiento y el tránsito de los datos.
  • Restringir el acceso a los datos biométricos únicamente a personal autorizado.
  • Guardar todos los accesos a los datos biométricos.
  • Evitar cruces de información innecesarios entre los sistemas biométricos y otros sistemas de tratamiento.
  • Se sugiere adquirir sistemas biométricos que almacenen únicamente la plantilla con minucias de huellas dactilares en lugar de la representación completa de la misma para que sea más difícil su recreación en caso de que la información sea robada.
  • Minimizar el uso de bases de datos centralizadas para el almacenamiento de biométricos.
  • Contar con un sitio alterno para resguardar las bases de datos biométricos, el cual deberá estar provisto con las medidas de seguridad suficientes.

Deber de confidencialidad

El responsable o terceros que intervengan en cualquier fase del tratamiento de datos biométricos deberán guardar confidencialidad respecto de esos datos.

Esta obligación que subsistirá aun después de finalizar su relación con el titular, o en el caso del encargado o de un empleado, con el responsable.

Las obligaciones que derivan de esa confidencialidad son:

  • Guardar secreto respecto de los datos biométricos en cualquier fase del tratamiento, incluso después de finalizar la relación con el titular.
  • Verificar que los encargados del tratamiento también guarden confidencialidad de los datos personales que manejan por cuenta del responsable, aun después de concluida la relación con éste.
  • Establecer controles o mecanismos que tengan por objeto que todas las personas que intervengan en cualquier fase del tratamiento de los datos biométricos, incluidos los propios empleados del responsable, eviten la divulgación de éstos.
  • No difundir datos biométricos a terceros sin consentimiento de su titular.
  • Definir claramente al personal autorizado para tener acceso y para tratar datos biométricos dentro de la organización, o bien, por terceros que actúen a nombre y por cuenta del responsable. Al respecto, se considera pertinente el uso de cláusulas contractuales que delimiten las obligaciones de los empleados dentro de la empresa, así como del encargado.

Evaluación de impacto

La empresa, al tratar datos biométricos que son considerados datos sensibles por el RGPD, está obligada a realizar una Evaluación de impacto.

Esto consiste en realizar un análisis de los riesgos a los que está expuesto ese tratamiento de datos biométricos y, a partir de ahí, determinar las medidas de seguridad que deben aplicarse para reducir o evitar esos riesgos.

Cuando haya tratamiento de datos personales biométricos, se recomienda que la evaluación de impacto incluya un análisis de los siguientes elementos:

  • Si los datos biométricos resultan necesarios y efectivos para atender una necesidad en específico de la empresa
  • La comparación del beneficio obtenido por el uso de los datos biométricos versus el coste por una posible violación del RGPD y LOPDGDD
  • La existencia de una forma menos invasiva para lograr el fin que se persigue.

También existen otros factores que deben tenerse en cuenta cuando se implementa un sistema biométrico, incluyendo:

  • Su localización
  • Riesgos en la seguridad
  • Si se hará una verificación o una identificación
  • Número de usuarios finales
  • Circunstancias de los usuarios
  • Datos existentes

Entre los puntos a considerar para la selección de una tecnología biométrica en particular, y para la correspondiente evaluación de impacto en la protección de datos personales, pueden incluirse los siguientes:

  • El medio ambiente
  • La necesidad de velocidad en la transacción
  • Los costes asociados con la obtención y almacenamiento de plantillas y reconocimientos de conductas biométricas
  • Tamaño de la población y demografía
  • Ergonomía
  • Interoperabilidad con sistemas existentes

Obligaciones de los Encargados del tratamiento

El Encargado de tratamiento se define como la persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras, trata datos personales a nombre y por cuenta del responsable, como consecuencia de la existencia de una relación jurídica que los vincula y delimita su actuación para la prestación de un servicio.

Tratándose de datos biométricos, se deberá considerar como encargado al tercero que realiza la recolección de muestras, creación de plantillas, almacenamiento de datos biométricos o su comparación, por nombre y cuenta de un responsable quien es el que decide sobre el tratamiento de esos datos.

El encargado tendrá las siguientes obligaciones respecto del tratamiento de los datos biométricos que realice por cuenta del responsable:

  • Tratar los datos biométricos únicamente conforme a las instrucciones del responsable.
  • No tratar esos datos para finalidades distintas a las indicadas por el responsable.
  • Implementar las medidas de seguridad exigidas por la normativa de Protección de Datos para el tratamiento de este tipo de datos.
  • Guardar secreto respecto de los datos tratados.
  • Devolver o eliminar los datos objeto de tratamiento una vez cumplida la relación jurídica con el responsable, siempre y cuando no exista una disposición legal que exija la conservación de los datos.
  • No transferir los datos biométricos a no ser que el responsable así lo establezca, o lo exija la autoridad competente.
  • Solicitar autorización al responsable para subcontratar servicios que impliquen el tratamiento de datos, en caso de que la misma no haya sido prevista en las cláusulas contractuales o en los instrumentos jurídicos, a través de los cuales se formalizó la relación con el responsable.
  • Informar al responsable cuando se produzca una vulneración de los datos que trata, ya que será corresponsable por las vulneraciones de seguridad ocurridas en el tratamiento de datos.

Herramientas para recoger datos biométricos

La industria está cada vez más interesada en esta tecnología por los múltiples beneficios que aporta.

Sin embargo, existe aún una deficiencia de software o herramientas para la recogida de datos biométricos. Los proveedores de soluciones biométricas distribuyen software propio para sus productos. Y esto hace muy difícil a las empresas cambiar de proveedor.

El organismo que regula, a nivel mundial, las actividades de normalización biométrica es el Sub-Comité 17 (SC17) del Joint Technical Committee on Information Technology (ISO/IEC JTC1), del International Organization for Standardization (ISO) y el International Electrotechnical Commission (IEC).

También existen entidades no gubernamentales que introducen iniciativas en materias biométricas como Biometrics Consortium, International Biometrics Groups y BioAPI.

A continuación te indico los principales fabricantes de dispositivos para recopilar datos biométricos.

Nitgen

Esta empresa fabrica sensores de huella dactilar, lectores y sistemas biométricos. Es líder mundial en tecnología y aplicaciones biométricas. Sus principales productos son para el reconocimiento de huella dactilar.

Hanvon

Son desarrolladores y distribuyen sistemas y productos relacionados con el reconocimiento biométrico facial, como el Face ID.

Kimaldi

Esta empresa es fabricante y mayorista de productos de gran calidad para la identificación de personas, control de acceso, control de presencia, control de producción y trazabilidad de personas. Es especialista en sistemas electrónicos para identificación automática.

Robotics

Es otro fabricante de dispositivos de identificación biométrica a través de huella digital o reconocimiento facial para el control de accesos.

B+Safe

Empresa que ofrece soluciones tecnológicas de valor añadido vinculadas a la salud y seguridad de las empresas, especialistas en el área de Biometría. Ofrece lectores de huella dactilar y de reconocimiento de las venas de los dedos.

Y tú, ¿manejas datos biométricos en tu empresa? ¿Cumples estos requisitos?

Espero tus comentarios.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.