Fa uns mesos vam publicar en la nostra pàgina web una notícia sobre les irregularitats detectades en la Diputació Provincial de Cuenca en introduir un nou sistema de control de fitxatges basat en l’empremta dactilar. Com ja vam esmentar, cada vegada més empreses i persones estan disposades a utilitzar en el seu dia a dia els sistemes biomètrics. No obstant això, molt poca gent és conscient de la seva perillositat i dels riscos que aquests comporten quan no s’usen amb responsabilitat. Per aquest motiu, l’Agència Espanyola de Protecció de Dades (AEPD) ha canviat el seu criteri respecte al tractament de dades biomètriques per al control d’accés i presència. Com a conseqüència, una gran multitud d’empreses que ja havien implementat aquest tipus de tecnologia s’han vist afectades.
Què són els sistemes biomètrics?
Un sistema biomètric és un tipus de tecnologia que s’empra principalment per a identificar a una persona en funció d’alguna de les seves característiques físiques. Aquests trets físics, tractats i processaments pels sistemes biomètrics, són els coneguts com a dades biomètriques. Per exemple, el lector d’empremtes dactilars, el reconeixement facial i el lector d’iris i retina són els sistemes més utilitzats en l’actualitat.
El tractament de dades biomètriques, considerat d’alt risc segons l’AEPD
Les dades biomètriques són úniques per a cada individu i, per tant, són difícils de falsificar. És per això que aquest tipus de sistemes són efectius tant per a l’autenticació com per a la identificació de persones. No obstant això, el fet de fer servir les dades biomètriques com a identificadors personals, l’ús indegut d’aquestes dades podria suposar una greu violació de la protecció de dades dels seus usuaris.
Per aquest motiu, l’Agència Espanyola de Protecció de Dades ha catalogat d’alt risc el tractament de dades biomètriques. A més, ha publicat una guia (Tractaments de control de presència mitjançant sistemes biomètrics) on detalla, de manera general, tots els criteris que s’han de complir per a la seva correcta utilització i tractament:
- En la guia s’inclouen, d’una banda, els criteris sobre el tractament de dades biomètriques per al control d’accés (tant dins com fora de l’àmbit laboral).
- D’altra banda, s’inclouen també alguns criteris i restriccions sobre el tractament d’aquestes dades per al control de presència. D’aquesta manera, s’aconsegueix controlar i, en unes certes ocasions, evitar l’ús de dades biomètriques per a la presa de decisions importants sense intervenció humana.
- A més, la guia recorda l’obligatorietat de la realització d’una Avaluació d’Impacte per a la Protecció de Dades (AIPD) abans d’implantar un nou sistema biomètric.
Com a conseqüència, perquè el tractament de dades biomètriques sigui possible “és necessari que existeixi una circumstància que aixequi la prohibició del seu tractament i, a més, una condició que el legitimi”, segons l’AEPD. Per tant, l’Agència Espanyola de Protecció de Dades dona a entendre que el tractament de dades biomètriques queda prohibit, excepte en circumstàncies excepcionals.
En quines situacions, dins d’una empresa, és possible l’ús de sistemes biomètrics?
En l’àmbit laboral, considerant l’ús dels sistemes biomètrics per al control d’accés, l’aixecament de l’anterior prohibició pot basar-se en l’article 9.2.b) del Reglament General de Protecció de Dades (RGPD). En ell s’esmenta, de manera general, que existeix la possibilitat de tractar amb dades biomètriques si és necessari per al compliment d’unes certes obligacions i l’exercici d’uns certs drets específics tant de l’empresari com del treballador. En aquest cas, s’haurà de comptar amb una norma amb rang de llei que ho autoritzi.
El consentiment, un factor clau?
Tal com esmenta l’Agència Espanyola de Protecció de Dades, el consentiment no pot servir com a pretext a l’hora d’aixecar la prohibició. A continuació et comentem per què:
- En un entorn laboral, perquè existeix una important diferència d’estatus entre l’empresari i el treballador.
- Fora d’un entorn laboral, el consentiment no és vàlid principalment per dos motius. D’una banda, perquè el corresponent tractament de dades és considerat d’alt risc. D’altra banda, perquè no es compleix amb el requisit de necessitat, segons el que s’estableix en l’article 25.7.b) del RGPD. És a dir, el fet que existeixi una necessitat d’ús és una de les condicions que s’ha de complir perquè el tractament de dades biomètriques sigui permès, i fora de l’àmbit laboral això no es compleix.
Mesures per a un correcte tractament de dades biomètriques, segons l’Agència Espanyola de Protecció de Dades
En el cas que s’estigui complint amb la llei i aquesta permeti el tractament de dades biomètriques de manera legítima, l’AEPD esmenta una sèrie de mesures que han de ser implementades abans, durant i després de la posada en funcionament d’un sistema biomètric:
- D’una banda, s’ha d’informar les persones sobre el tractament de les seves dades biomètriques i dels riscos que això comporta. Per exemple, en el cas d’una empresa, les persones que han de ser informades són els seus propis treballadors. A més, s’ha d’oferir la possibilitat de revocar el vincle entre la mateixa identitat de la persona i les dades biomètriques que s’hagin pogut guardar d’ella. Això últim ha de ser implementat de forma tecnològica en el sistema biomètric, tenint la possibilitat d’eliminar les dades sempre que sigui necessari.
- D’altra banda, cal implementar mesures tècniques i de seguretat per a evitar que les dades biomètriques siguin usades per a qualsevol altre propòsit no desitjat. També ha de ser essencial evitar la interconnexió entre diferents bases de dades que continguin dades biomètriques. D’aquesta manera, es minimitza tota possibilitat de divulgació no desitjada d’aquests. Així mateix, les dades han d’estar xifrades per a garantir la seva confidencialitat, disponibilitat i integritat.
Des de SETEMCAT, t’informem i t’assessorem
En conclusió, des de SETEMCAT som conscients de la gran utilitat dels sistemes biomètrics. També entenem la seva importància per a algunes empreses, les quals poden veure’s afectades després del nou comunicat de l’AEPD. No obstant això, coneixem perfectament la legislació vigent i els riscos que impliquen aquests sistemes per a la seguretat i la protecció de dades de les persones. Per aquest motiu, considerem fonamental informar els nostres clients i usuaris sobre els aspectes més importants sobre protecció de dades que han de tenir-se en compte en implementar (i en usar) un sistema biomètric.