T: +34 955 26 89 56 | protecciondedatos@talentoprotec.com

Protección de Datos y datos biométricos según el nuevo reglamento Europeo de Protección de datos (RGPD)

¿Sabes qué son los datos biométricos? ¿Y cuáles son esos datos?

Ya Orwell, a través de su obra “1984”, fue capaz de prever que los avances tecnológicos e informáticos podrían llevar al mundo a una constante vigilancia.

Actualmente nos encontramos una era de explosión informática que nos acerca rápidamente a la posibilidad de situarnos en una realidad como esta.

Y a la vez también existen cada vez más regulaciones para proteger nuestra privacidad.

Aquí tienes toda la información sobre los datos biométricos y cómo deben protegerse.

datos biometricos que son

¿Qué son los datos biométricos?

Cada vez más empresas instalan métodos de identificación de trabajadores consistentes en el análisis de distintos aspectos biométricos de los mismos.

La finalidad es controlar el acceso al puesto de trabajo, para impedir accesos no autorizados a las instalaciones y controlar los horarios y presencia.

Aunque en principio pueda parecer que este tratamiento no supone ningún riesgo ni se considere un tratamiento especial, debemos tener en cuenta que la nueva normativa de protección de datos se refiere específicamente al tratamiento de datos biométricos. Y exige un marco de control exhaustivo y delimitado que debemos cumplir obligatoriamente si no queremos ser sancionados.

Definición del RGPD

Según la definición del Reglamento General de Protección de Datos (RGPD), los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única.

Por ejemplo imágenes faciales o huellas dactilares. Conceptos que os explicaré a lo largo de este post.

Así, cualquier procedimiento de identificación a través de reconocimiento facial o huella dactilar debe adaptarse obligatoriamente a los requisitos exigidos por el RGPD.

Datos biométricos son, por tanto, aquellos que posibiliten la identificación de una persona física a través de procesos técnicos, que recopilen información relativa al aspecto físico, corporal o conductual. Como su imagen facial, huella digital o similares.

La principal novedad establecida por el RGPD, que hace importante analizar el impacto que causa este tratamiento, es la modificación de la calificación de los datos biométricos como datos sensibles.

Esto supone un incremento en las medidas de seguridad a adoptar por el Responsable del Tratamiento, para otorgar una mayor protección a esta categoría especial de datos personales.

¿Cuáles son los datos biométricos?

Según su naturaleza, los datos biométricos se dividen en tres categorías principales:

  • Universal: es el dato que existe en todas las personas sin distinción
  • Único: dato distinguible en cada individuo
  • Permanente: dato mantenido de forma continua

La Guía del INCIBE sobre Tecnologías biométricas aplicadas a la ciberseguridad, nos da una buena muestra de tipologías de reconocimiento biométrico para esta clase de finalidades.

Por otro lado, según las características individuales que recogen, se diferencian dos grupos:

  • Características físicas y fisiológicas
    • Huella dactilar
    • Reconocimiento facial
    • Reconocimiento de iris
    • Geometría de la mano
    • Reconocimiento de retina
    • Reconocimiento vascular
  • Características del comportamiento y la personalidad
    • Reconocimiento de firma
    • Reconocimiento de escritura
    • Reconocimiento de voz
    • Reconocimiento de escritura de teclado
    • Reconocimiento de la forma de andar

Veamos cada uno de ellos.

Huella dactilar

La huella dactilar es uno de los datos biométricos más utilizados.

Tiene importantes ventajas como su bajo coste de implantación y su sencilla adaptación. Además tiene un elevado índice de precisión.

Hay dos métodos principales para recoger las huellas dactilares:

  • “Basado en minucias”: a través de este se identifican las formas de la huella dactilar y su ubicación dentro de ella
  • “Basado en correlación”, aquí se examina la huella dactilar de manera integral

Reconocimiento facial

Los sistemas de reconocimiento facial hacen posible la identificación de una persona mediante un análisis de las características biométricas de su rostro.

El rostro se analizará por determinados programas de cálculo que lo comparan con la fotografía o imagen obtenida anteriormente.

Una de las ventajas de este sistema es que es muy poco intrusivo y casi no se exige participación del usuario.

Los sistemas de reconocimiento facial existentes son:

  • Geométricos: tienen en cuenta los rasgos faciales del individuo: ojos, nariz, boca, etc. También usan evaluaciones de los ángulos de la cara y cálculos de distancias entre los distintos rasgos
  • Fotométricos, proporcionan información de manera global, del rostro completo
  • Mixtos, estos añaden elementos de los dos anteriores

Es importante tener en cuenta las consecuencias que la edad produce en los rostros. Y los cambios que pueden sufrir las personas llevando lentes de visión, con el vello facial, etc.

Reconocimiento del iris

El reconocimiento del iris es la técnica de identificación más fiable ya que el iris de las personas no cambia con el tiempo.

Para ese reconocimiento se utiliza una cámara de infrarrojos, que hace una fotografía al ojo, y a través de ella se obtienen los detalles del iris.

Como inconvenientes de este sistema cabe destacar que se trata de una tecnología muy costosa y es necesaria una cooperación por parte de la persona.

Reconocimiento de la geometría de la mano

Este reconocimiento se basa en la captura de una imagen en 3D de la mano de la persona. A través de ella se van a obtener todos los detalles posibles. Por ejemplo las medidas de la mano, su estructura ósea o la longitud y grosor de los dedos.

Esta técnica puede no ser muy fiable en el caso de que la persona sufra alguna lesión en la mano.

Reconocimiento de retina

El reconocimiento de retina es un buen sistema biométrico de identificación, ya que la retina, al igual que la huella dactilar, es única en cada persona.

A través de una cámara de infrarrojos se escanea la retina.

Esta técnica dificulta la suplantación de identidad pero se considera más invasivo que el reconocimiento del iris.

Reconocimiento vascular

Esta técnica biométrica consiste en el estudio de la geometría del árbol de venas del dedo o de las muñecas.

El formato de las venas es capturado a través de un proceso de diferencia de absorción de haces de luz del espectro infrarrojo. Similar a la que usan las cámaras de circuito cerrado de televisión para su visualización en ambientes sin luz visible.

Esta técnica tiene la ventaja de hacer muy difícil el robo de identidad, pero también se trata de una técnica muy costosa.

Reconocimiento de firma

El reconocimiento de firma es el sistema más utilizado en el mundo como método de autentificación.

A través de este sistema se examina la firma. Para ello pueden usarse los siguientes métodos:

  • Cotejo simple (parecido entre dos firmas)
  • Prueba dinámica (se estudia la forma y velocidad)

Reconocimiento de escritura

Para el reconocimiento de escritura se utiliza un determinado software mediante el que se realiza un reconocimiento óptico de los caracteres (OCR).

Existen dos tipos de reconocimientos: estático y dinámico.

Reconocimiento de voz

Para el reconocimiento de voz se utilizan aplicaciones con algoritmos que miden las muestras y devuelven el resultado con la identificación de esa persona.

Un inconveniente importante a tener en cuenta en este método de identificación es la influencia de factores externos como es el ruido de fondo.

Reconocimiento de escritura de teclado

Este tipo de reconocimiento analizará los siguientes elementos:

  • La energía con la que la persona teclea
  • El tiempo de pulsación
  • El tiempo transcurrido entre dos pulsaciones de teclado

Reconocimiento de la forma de andar

Este sistema consiste en examinar la forma de caminar de la persona utilizando almohadillas especiales en el suelo y una cámara de alta resolución.

Esa cámara de alta definición medirá el reparto del peso, la rapidez de pasos y la manera de andar.

Otros tipos de reconocimientos biométricos

También hay otros reconocimientos para identificar a las personas como lo son el estudio de la palma de la mano, la forma de las orejas, el ADN, o la piel.

El artículo 9 del Reglamento 2016/679 establece que los datos biométricos van a ser considerados como una categoría especial de datos personales. Por tanto, por regla general, no estará permitido su tratamiento, especialmente cuando el fin buscado sea ajeno a identificar de forma unívoca a una persona de una forma tan invasiva y cualificada.

Y establece la prohibición de tratar datos personales relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical. Al igual que el tratamiento de datos biométricos o genéticos con el fin de identificar de forma inequívoca a una persona física.

¿Cuándo pueden tratarse los datos biométricos?

Existen una serie de supuestos, establecidos en el RGPD, en los que sí estaría aceptado este tratamiento especial:

  • Si el interesado hubiera otorgado su consentimiento explícito para dicho tratamiento con uno o más de los fines especificados. Salvo que hubiera una prohibición legal a nivel europeo o estatal sobre ello
  • Cuando el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (la empresa o persona que trata los datos inicialmente) o del propio interesado, con relación a aspectos relativos al derecho laboral, seguridad y protección social
  • Si fuese necesario para proteger intereses vitales del interesado o de otra persona física, si el interesado no estuviera capacitado para dar su consentimiento
  • Cuando el tratamiento se refiriera a datos personales que el interesado hubiese hecho anteriormente manifiestamente públicos
  • Interés público esencial
  • Para fines de medicina preventiva o laboral:
    • Evaluación de la capacidad laboral del trabajador
    • Diagnóstico médico
    • Prestación de asistencia
    • Tratamiento de tipo sanitario o social

Así, el objetivo de limitar el tratamientos de datos biométricos no es otro que proteger la privacidad de los ciudadanos. Por ello, tanto el responsable como el encargado del tratamiento están obligados a realizar evaluaciones de impacto para tratar correctamente esos datos biométricos.

No existiría esa limitación en caso de que el almacenamiento de los datos biométricos no se realice con el único fin de identificar inequívocamente a un usuario. De todas formas, es recomendable tener en cuenta la protección adecuada, cumpliendo los principios y requisitos legales que establece el propio Reglamento.

La importancia de la proporcionalidad

Cualquier tratamiento de datos ha de verificar estos tres parámetros para cumplir con el principio de proporcionalidad (lo cual implica realizar una ponderación de intereses):

  • Idoneidad: si con ella se consigue el objetivo perseguido
  • Necesidad: si no existe una medida alternativa de igual eficacia para conseguir los fines perseguidos. Por ejemplo, tarjetas identificativas, etiquetas RFID, banda magnética que no requieren el uso de datos biométricos son igual de factibles y eficaces
  • Proporcionalidad estricta: su uso genera más beneficios para el interés general frente a los perjuicios para los derechos fundamentales objeto de conflicto. Por ejemplo, la comodidad o el ligero ahorro frente a la pérdida de intimidad e incluso la seguridad de los datos no la hace apropiada

Pudiendo requerirse igualmente el cumplimiento de los principios de:

  • Intervención mínima
  • Minimización de datos
  • Conservación de los datos.

Ejemplo de sanción a un gimnasio

Es conocido el caso de un gimnasio de Murcia que decidió implementar un control de accesos para sus socios consistente en un mecanismo de captación de huella dactilar, sin ofrecer otro medio alternativo. Un socio denunció a la Agencia Española de Protección de Datos al entender que esta imposición era a todas luces desproporcionada para el fin que se estaba buscando (control de accesos a los servicios del gimnasio). Y que no se le solicitó en ningún momento un documento de conformidad para la recogida de sus datos biométricos.

La Agencia resolvió sancionando al gimnasio en 5.000 euros (multa que se vería reducida a 1.500 euros tras alegaciones). Para ello se basa en el hecho de que el tratamiento de los datos de reconocimiento de huella de usuarios del gimnasio para controlar el acceso es el único medio de acceder. Y el gimnasio utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas. Con ello incumple las obligaciones establecidas en la LOPD.

Este es el claro ejemplo de un uso desproporcionado de esta tecnología y de incumplimiento de los requisitos previstos en la normativa actual mencionados anteriormente.

Conclusión

Concluyendo, con la entrada en vigor del nuevo RGPD el uso de sistemas biométricos requiere, primeramente, disponer de una evaluación de impacto, dado la especialidad y naturaleza del propio tratamiento que lo convierte en altamente intrusivo y sensible. Por ello necesariamente debemos determinar las medidas de seguridad encaminadas a impedir fugas de datos o accesos no deseados que pueda exponer información de los interesados.

En segundo lugar, debemos de verificar que existe una proporcionalidad con el fin buscado por el tratamiento. Debiendo de resultar el tratamiento de datos biométricos una parte ineludible y necesaria para conseguir ese preciso fin.

Finalmente, y esto de vital importancia, debemos recabar el consentimiento expreso de los interesados. Donde se les informe prudentemente del tipo de tratamiento, quién es el responsable y de los derechos que pueden ejercitar acordes a la nueva normativa.

Preguntas frecuentes

¿Qué son los sistemas biométricos de identificación?

Un sistema biométrico es aquel a través del cuál puede codificarse, medirse, almacenarse, compararse o reconocerse alguna característica propia de una persona, con cierto nivel de exactitud y seguridad.

Serán considerados como datos biométricos aquellos que habiliten a identificar a una persona física a través de procedimientos de carácter técnico que almacenen información relativa al aspecto físico, corporal, conductual. Tales como su imagen facial, huella digital o análogos.

Se exige un potente software para un correcto funcionamiento de estos sistemas con distintas fases en las que participan distintos campos de la informática, como son:

  • reconocimiento de formas,
  • inteligencia artificial,
  • aprendizaje y
  • complicados algoritmos matemáticos.

¿Qué es un control biométrico?

Un control biométrico puede definirse como el proceso a través del cuál puede identificarse a los usuarios por alguna de sus condiciones biológicas.

Este sistema de identificación, mediante el reconocimiento de los usuarios, permite o deniega la entrada a edificios. También permite saber quién ha accedido a las instalaciones y a qué hora lo ha hecho e incluso llevar un registro de ello.

Estos sistemas tienen gran utilidad tanto en viviendas y complejos residenciales como en comercios, naves industriales, oficinas, bibliotecas, residencias, laboratorios, etc.

¿Qué es la autenticación biométrica?

La Autentificación biométrica (AB) se basa en la verificación de la identidad de un sujeto, considerando ciertos detalles morfológicos que sólo existen en ese sujeto.

Es decir, a través de la AB se recoge información referente a un rasgo distintivo de una persona (su voz, su huella dactilar), para cotejar esa muestra con otra, recogida normalmente en el mismo momento, y poder comprobar si son iguales o no.

¿Qué tecnología biométrica es la más segura?

Pese a que todos los sistemas trabajan con distintos parámetros y es difícil determinar cuál resulta más seguro, los especialistas suelen recomendar el reconocimiento de iris como una alternativa a la huella digital.

Este sistema posee diversas ventajas más allá de ser mucho más complejo de falsificar, como que no requiere contacto directo con el dispositivo, evitando problemas derivados de la suciedad o el polvo.

Si tu empresa aun no cumple con el nuevo reglamento europeo o estas en fase de adaptación y necesitas asesoramiento , desde Talento PROTEC, como especialistas en protección de datos, te podemos ayudar. Consúltanos! 955 268 956 o en protecciondedatos@talentoprotec.com

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies