Hace unos meses publicamos en nuestra página web una noticia sobre las irregularidades detectadas en la Diputación Provincial de Cuenta al introducir un nuevo sistema de control de fichajes basado en la huella dactilar. Como ya mencionamos, cada vez más empresas y personas están dispuestas a utilizar en su día a día los sistemas biométricos. Sin embargo, muy poca gente es consciente de su peligrosidad y de los riesgos que estos conllevan cuando no se usan con responsabilidad. Por este motivo, la Agencia Española de Protección de Datos (AEPD) ha cambiado su criterio respecto al tratamiento de datos biométricos para el control de acceso y presencia. Como consecuencia, una gran multitud de empresas que ya habían implementado este tipo de tecnología se han visto afectadas.
¿Qué son los sistemas biométricos?
Un sistema biométrico es un tipo de tecnología que se emplea principalmente para identificar a una persona en función de alguna de sus características físicas. Estos rasgos físicos, tratados y procesados por los sistemas biométricos, son los conocidos como datos biométricos. Por ejemplo, el lector de huellas dactilares, el reconocimiento facial y el lector de iris y retina son los sistemas más utilizados en la actualidad.
El tratamiento de datos biométricos, considerado de alto riesgo según la AEPD
Los datos biométricos son únicos para cada individuo y, por lo tanto, son difíciles de falsificar. Es por ello que este tipo de sistemas son efectivos tanto para la autenticación como para la identificación de personas. Sin embargo, al utilizar los datos biométricos como identificadores personales, el uso indebido de estos datos podría suponer una grave violación de la protección de datos de sus usuarios.
Por este motivo, la Agencia Española de Protección de Datos ha catalogado de alto riesgo el tratamiento de datos biométricos. Además, ha publicado una guía (Tratamientos de control de presencia mediante sistemas biométricos) en donde detalla, de forma general, todos los criterios que se deben cumplir para su correcta utilización y tratamiento:
- En la guía se incluyen, por un lado, los criterios sobre el tratamiento de datos biométricos para el control de acceso (tanto dentro como fuera del ámbito laboral).
- Por otro lado, se incluyen también algunos criterios y restricciones sobre el tratamiento de estos datos para el control de presencia. De este modo, se logra controlar y, en ciertas ocasiones, evitar el uso de datos biométricos para la toma de decisiones importantes sin intervención humana.
- Además, la guía recuerda la obligatoriedad de la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) antes de implantar un nuevo sistema biométrico.
Como consecuencia, para que el tratamiento de datos biométricos sea posible “es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime”, según la AEPD. Por lo tanto, la Agencia Española de Protección de Datos da a entender que el tratamiento de datos biométricos queda prohibido, salvo en circunstancias excepcionales.
¿En qué situaciones, dentro de una empresa, es posible el uso de sistemas biométricos?
En el ámbito laboral, considerando el uso de los sistemas biométricos para el control de acceso, el levantamiento de la anterior prohibición puede basarse en el artículo 9.2.b) del Reglamento General de Protección de Datos (RGPD). En él se menciona, de forma general, que existe la posibilidad de tratar con datos biométricos si es necesario para el cumplimiento de ciertas obligaciones y el ejercicio de ciertos derechos específicos tanto del empresario como del trabajador. En este caso, se deberá contar con una norma con rango ley que lo autorice.
El consentimiento, ¿un factor clave?
Tal y como menciona la Agencia Española de Protección de Datos, el consentimiento no puede servir como pretexto a la hora de levantar la prohibición. A continuación te comentamos por qué:
- En un entorno laboral, porque existe una importante diferencia de estatus entre el empresario y el trabajador.
- Fuera de un entorno laboral, el consentimiento no es válido principalmente por dos motivos. Por un lado, porque el correspondiente tratamiento de datos es considerado de alto riesgo. Por otro lado, porque no se cumple con el requisito de necesidad, según lo establecido en el artículo 25.7.b) del RGPD. Es decir, el hecho que exista una necesidad de uso es una de las condiciones que se debe cumplir para que el tratamiento de datos biométricos sea permitido, y fuera del ámbito laboral esto no se cumple.
Medidas para un correcto tratamiento de datos biométricos, según la Agencia Española de Protección de Datos
En el caso de que se esté cumpliendo con la ley y esta permita el tratamiento de datos biométricos de forma legítima, la AEPD menciona una serie de medidas que deben ser implementadas antes, durante y después de la puesta en funcionamiento de un sistema biométrico:
- Por un lado, se debe informar a las personas sobre el tratamiento de sus datos biométricos y de los riesgos que esto conlleva. Por ejemplo, en el caso de una empresa, las personas que deben ser informadas son sus propios trabajadores. Además, se debe ofrecer la posibilidad de revocar el vínculo entre la propia identidad de la persona y los datos biométricos que se hayan podido guardar de ella. Esto último debe ser implementado de forma tecnológica en el sistema biométrico, teniendo la posibilidad de eliminar los datos siempre que sea necesario.
- Por otro lado, hay que implementar medidas técnicas y de seguridad para evitar que los datos biométricos sean usados para cualquier otro propósito no deseado. También debe ser esencial evitar la interconexión entre distintas bases de datos que contengan datos biométricos. De este modo, se minimiza toda posibilidad de divulgación no deseada de estos. Asimismo, los datos deben estar cifrados para garantizar su confidencialidad, disponibilidad e integridad.
Desde SETEMCAT, te informamos y te asesoramos
En conclusión, desde SETEMCAT somos conscientes de la gran utilidad de los sistemas biométricos. También entendemos su importancia para algunas empresas, las cuales pueden verse afectadas tras el nuevo comunicado de la AEPD. No obstante, conocemos perfectamente la legislación vigente y los riesgos que implican estos sistemas para la seguridad y la protección de datos de las personas. Por este motivo, consideramos fundamental informar a nuestros clientes y usuarios acerca de los aspectos más importantes y novedosos sobre protección de datos que deben tenerse en cuenta al implementar (y al usar) un sistema biométrico.