
¿Utilizas o estás pensando en utilizar biometría como control de acceso?
Cada vez más nos encontramos con que las empresas utilizan sistemas biométricos para controlar los accesos a sus instalaciones. Inclusive, se está empleando dicho sistema para el control de la jornada laboral de los empleados.
Es evidente que tiene ventajas en relación a otros métodos de control de acceso o control laboral más rudimentarios, pero no todo es de color de rosa y, como contrapartida, tenemos que tener en cuenta que se trata de un sistema invasivo para la protección de datos de las personas que utilicen estos sistemas de acceso o de control laboral.
¿Por qué?
El dato original del que parten estos sistemas biométricos es un dato físico, fisiológico o conductual de una persona física destinado a la identificación o verificación de dicha persona. Es por ello, que nos encontramos ante un dato de carácter personal y, por tanto, entra en juego la normativa vigente en materia de protección de datos (RGPD y LOPDyGDD).
En los sistemas biométricos, ya sea de reconocimiento facial, lectura de iris del ojo, de huella dactilar o de reconocimiento de voz, el procedimiento es similar: Se recaba en primera instancia el dato biométrico registrándose en los sistemas para, posteriormente, en el momento del acceso realizar o bien la identificación o bien la autenticación, como se explica a continuación
Sin entrar en detalles técnicos de inteligencia artificial y de conversión del dato biométrico en vectores matemáticos, cabe diferenciar dos sistemas biométricos consistentes en:
- Identificación (sistema uno a varios): se entiende que la plantilla de la imagen facial de una persona recabada por el sistema biométrico (o la huella, el iris, la voz…) se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. El ejemplo claro es la base de datos creada entre los empleados de una empresa. Se han registrado los datos biométricos en una base de datos del sistema y cuando el empleado va a acceder a las instalaciones se le toman los datos para compararlos con los de la base de datos. Si son coincidentes, al empleado en cuestión se le abrirá la puerta de entrada, torno o el sistema de entrada instalado.
- Autenticación o verificación (sistema uno a uno): se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, pertenecen a la misma persona. Así, las dos plantillas se comparan para determinar si los datos biométricos recabados de la persona es la misma. En este caso la plantilla de los datos biométricos de un solo trabajador recabados con anterioridad, y no de varios, se compara con los tomados en el momento del acceso. Si son coincidentes, al empleado en cuestión se le abrirá la puerta de entrada, torno o el sistema de entrada instalado.
Pues bien, la explicación anterior es importante para saber que, en el caso de que el sistema sea de identificación uno a varios, la AEPD ha considerado que los datos sean considerados como especialmente protegidos, regulados en el artículo 9 del RGPD. En el caso de que el sistema biométrico sea de autenticación o verificación uno a uno, no están considerados datos especialmente protegidos. Así lo dispuso la AEPD en el siguiente informe 2020-0036_Crue datos biométricos (aepd.es).
Cuando tratamos datos personales especialmente protegidos hay que tener aún más cautela a la hora de tratar esos datos. Se debe realizar un análisis de riesgos más exhaustivo y, como resultado del anterior análisis, se deberán incorporar unas medidas de seguridad más férreas para la salvaguarda de los datos.
En otra ocasión hablaremos de las bases de legitimación del tratamiento de estos datos, de la información a brindar al afectado por el tratamiento etc., pero lo que queremos resaltar en este post es que, muy probablemente, previamente a la instalación de estos sistemas de identificación biométricos deberá realizarse una evaluación de impacto relativa a la protección de datos personales (EIPD).
La AEPD publicó un listado de tipos de tratamientos que requerían evaluación de impacto “Listas de tipo de tratamientos que requieren evaluación de impacto relativa a protección de datos” listas-dpia-es-35-4.pdf (aepd.es). En la explicación de dicho documento se indica que si, al menos, dos de los tipos de tratamientos se cumplen, deberá abordarse de manera obligatoria la EIPD.
La utilización de un sistema de acceso biométrico conllevará, sin duda alguna, dos o tres de los tipos de tratamiento incluidos en el listado anterior:
- Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
¿En qué consiste une EIPD?
Definir en una sola frase qué es una EIPD es bastante complejo, por lo que indicamos cómo lo define la AEPD en su “Guía práctica para las evaluaciones de impacto en la protección de datos sujetas al RGPD” (guia-evaluaciones-de-impacto-rgpd.pdf (aepd.es)):
La EIPD “es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.”
Si habéis podido echar un vistazo a la citada guía de la AEPD, una evaluación de impacto es un proceso bastante complicado que requiere de conocimientos técnicos y jurídicos en protección de datos y seguridad de la información.
Recordad, por tanto, que previamente a la instalación de un sistema de control de acceso biométrico deberá abordarse una EIPD.
Si necesitas ayuda a la hora de hacer una EIPD no dudes en contar con Datalia para ello.