Cada vez son más las empresas que instalan diferentes métodos de identificación consistentes en el análisis de distintos aspectos biométricos. Es algo evidente que el uso de este tipo de tecnologías es cada vez más recurrente: registros de jornada de trabajo, control de asistencia, desbloqueo de dispositivos, seguridad en las instalaciones… Pero no debe perderse de vista que los datos biométricos son considerados datos sensibles, y esto exige un marco de control exhaustivo y delimitado que debe cumplirse obligatoriamente.
¿Qué son los datos biométricos?
Según establece el Reglamento General de Protección de Datos (RGPD), los datos biométricos son aquellos datos personales referidos a características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única, como por ejemplo imágenes faciales o huellas dactilares.
Por lo tanto, un dato biométrico será aquel que posibilite la identificación de una persona física a través de procesos técnicos y que recopile información relativa al aspecto físico, corporal o conductual del sujeto en cuestión. Entre otros, y atendiendo a la Guía del INCIBE sobre Tecnologías biométricas aplicadas a la ciberseguridad, podemos encontrar:
- La huella dactilar
- El reconocimiento:
- facial
- iris
- mano
- retina
- voz
- firma
Datos biométricos y privacidad
El RGPD considera los datos biométricos como una categoría especial de datos personales. En consecuencia, como norma general, no se permite su tratamiento. No obstante, existe una serie de supuestos recogidos en la normativa en los que se aceptará este tratamiento especial. Por ejemplo: consentimiento, interés público, cumplimiento de obligaciones relativas al derecho laboral, seguridad y protección social…
Dada la especialidad y la naturaleza propias de este tipo de tratamientos, los convierte en tratamientos altamente intrusivos y sensibles. Por este motivo, se deben determinar medidas de seguridad encaminadas a impedir fugas de datos o accesos no deseados que puedan exponer información de los interesados.
Además, se deberá verificar siempre que existe proporcionalidad con el fin buscado por el tratamiento. El uso de datos biométricos debe ser una parte necesaria e ineludible para conseguir el fin concreto, sin la cual el mismo no podría llevarse a cabo.
Así pues, el objetivo de la restricción de estos tratamientos de datos es proteger la privacidad de los interesados. Es por ello que, tanto el responsable como el encargado del tratamiento, están obligados a realizar una evaluación de impacto para que se traten correctamente los datos biométricos.
Empresas y biometría
Toda empresa que maneje cualquier tipo de dato biométrico posee ciertas obligaciones en cumplimiento con el RGPD y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
El responsable del tratamiento se encuentra obligado a comunicar al titular de los datos personales las características del tratamiento al que será sometida su información personal.
Según el RGPD, el responsable del tratamiento debe obtener siempre un consentimiento expreso del titular de los datos biométricos para poder tratarlos. Además, ese consentimiento debe ser: libre, específico, informado e inequívoco.
Un pilar básico para un sistema de protección de datos personales efectivo es la seguridad de los datos, entendiéndola como la implantación de medidas administrativas, físicas y técnicas para garantizar la integridad, confidencialidad y disponibilidad de los datos.
El responsable (o terceros) que intervenga en cualquier fase del tratamiento de datos biométricos debe guardar confidencialidad respecto de estos datos.
Y por último, la empresa, al tratar datos biométricos está obligada a realizar una Evaluación de impacto de Protección de Datos personales (EIPD). Una EIPD consiste en la realización de un análisis de los riesgos a los que está expuesto el tratamiento de datos biométricos en cuestión y a partir de ahí, la determinación las medidas de seguridad que deberán aplicarse para reducir o evitar dichos riesgos.
Recomendaciones de la Agencia Española de Protección de Datos (AEPD)
Cuando haya tratamiento de datos personales biométricos, la AEPD recomienda que la EIPD incluya un análisis que matice:
- Si los datos biométricos resultan necesarios para atender una necesidad concreta de la empresa.
- La existencia de una forma que sea menos invasiva para lograr el fin perseguido.
- Comparativa del beneficio obtenido mediante el uso de los datos biométricos y el coste por una posible violación del RGPD.
Recientemente, la AEPD ha interpuesto una sanción de 20.000€ a una empresa que, tratando datos de carácter personal enmarcados en una categoría especial y existiendo la obligación de llevar a cabo una EIPD, incumplió este deber regulado en el artículo 35 del RGPD. La empresa, que implantó un sistema de control presencial de los trabajadores, a través de un sistema biométrico de huella digital en las instalaciones, no realizó la correspondiente evaluación de impacto de esta medida.
Aspectos a tener en cuenta con los datos biométricos
En la tecnología biométrica son importantes dos cuestiones:
- El tipo de tecnología que se emplee a nivel software.
- La finalidad que quiere conseguirse con la misma, en el caso concreto de la empresa sancionada, un registro de jornada. La AEPD, además, señala que para un registro de este tipo existen medios mucho menos intrusivos, por lo que la tecnología utilizada no supera el juicio de proporcionalidad.
La evaluación de impacto debe ser considerada por las empresas como un elemento fundamental para saber qué riesgos genera la implantación de cualquier sistema de control biométrico. La empresa alcanzará un nivel de adecuación óptimo y eficaz, siempre y cuando sea consciente de los riesgos y cumpla con las obligaciones correspondientes. Lo cual, generará la suficiente confianza en sus clientes, trabajadores y público en general, además de evitar sanciones tan cuantiosas como la mencionada anteriormente.
¿Quieres saber más?
¡Contáctanos! Te asesoramos para que tu empresa maneje cualquier tipo de dato biométrico de una manera óptima.