Ya que son muchos los malentendidos que se presentan en el uso de datos biométricos, la Agencia Española de Protección de Datos acaba de publicar una nota técnica al respecto, con un total de 14 errores comunes.
Desde que se implantó la obligación de llevar a cabo el control de jornada laboral, se ha extendido el uso de sistemas de control de acceso a las instalaciones mediante huella dactilar o reconocimiento facial, incluso de los ojos. Actualmente además, se están empezando a extender las propuestas del uso de cámaras termográficas que, además de tomar la temperatura corporal, son capaces de realizar reconocimiento facial. Esto supone, inequívocamente, el tratamiento de datos biométricos; y, por ello, es obligatoria la realización previa al tratamiento de la Evaluación de Impacto y, en caso de no disponer del mismo, del necesario Análisis de Riesgos. Redactamos este artículo con la intención de resumir el contenido de la nota técnica (y otros aspectos relacionados) de la forma más sencilla y transparente posible.
1. Tanto los sistemas de huella dactilar como los de medición facial siempre suponen el tratamiento de datos biométricos.
Esto es así, según el Instituto Nacional de Ciberseguridad de España (dependiente del Ministerio de Economía y Empresa), independientemente de que se utilice una muestra total o únicamente se emplee el cálculo de la distancia entre puntos clave de la huella o la cara. Tampoco afecta al concepto de dato biométrico que se almacenen los datos ‘en bruto’ o mediante un algoritmo.
2. El uso de datos biométricos está restringido a determinadas excepciones y requisitos.
Estos datos pueden revelar, entre otras, informaciones sobre la etnia o el género de las personas, e incluso aspectos psicosociales o de salud. Todos estos datos (tanto los biométricos como los raciales, de género, psicosociales o de salud) se consideran de categorías especiales en el RGPD, por lo que desde la perspectiva legal, su uso está prohibido, salvo que se presente alguna de las circunstancias recogidas en el artículo 9.2 del RGPD.
3. La identificación biométrica no es la más segura, especialmente cuando nos referimos a los sistemas de reconocimiento facial.
Existen diversos sistemas que permiten engañar a los dispositivos, y no requieren grandes conocimientos técnicos ni grandes medios económicos. La obtención de los datos biométricos por parte de terceros es relativamente sencilla, ya sea registrándolos de algún modo (p.ej., fotografía u obtención de la huella en cualquier superficie que hayamos tocado) o bien interviniendo física y/o digitalmente el dispositivo en el que se encuentra almacenado el dato biométrico (p.ej., robando o accediendo en remoto al aparato).
4. Una brecha de seguridad relativa a datos biométricos supone que no se pueda cancelar la información biométrica (acceso a los datos por parte de un tercero no autorizado).
En general, nuestra huella dactilar y nuestra cara siempre es la misma, así que el procedimiento para recuperar el acceso no sería tan sencillo como cambiar de contraseña o de tarjeta (a no ser que se utilice el sistema fuerte de doble autenticación, que siempre recomendamos).
5. El algoritmo o el hash con el que se codifica la información biométrica puede permitir la reconstrucción del ‘original’ (aunque sea parcialmente); de forma que otro sistema biométrico (la gran mayoría son interoperables o compatibles técnicamente) reconozca a la misma persona (p.ej., la huella dactilar reconstruida, obtenida del dispositivo de control de acceso al trabajo, podría ser utilizada para acceder a la aplicación móvil de nuestra entidad bancaria).
A modo de conclusión, recordamos que es imprescindible realizar el pertinente Análisis de Riesgos y Evaluación de Impacto para verificar la legitimidad, necesidad, proporcionalidad e idoneidad del tratamiento de datos biométricos por parte de su empresa. No dude en contactarnos para que llevemos a cabo estos servicios y pueda estar tranquilo.