Sistema de marcaje con huella que cumple con el RGPD

El Grupo SPEC desarrolló un nuevo sistema de marcaje mediante la huella dactilar que cumple con Reglamento General de Protección de Datos (RGPD).

La obligatoriedad de registrar la jornada laboral se ha implementado desde mayo 2019 y la posterior llegada de la pandemia y sus consiguientes medidas de higiene determinaron el desarrollo de nuevas medidas de marcaje en las empresas.

Un sistema de marcaje  que cumple con el RGPD.

En este contexto, Grupo SPEC, empresa líder en el diseño y desarrollo integral de servicios de seguridad y control de procesos, ha desarrollado un nuevo sistema de marcaje mediante la huella dactilar que, por primera vez, hace compatible este tipo de marcaje biométrico con el Reglamento General de Protección de Datos (RGPD).

El trabajador conoce dónde se almacena la información de sus datos biométricos, que se registran en una tarjeta de proximidad que siempre posee.

De esta manera, la nueva tarjeta y sistema de marcaje Mifare Desfire, combina la identificación mediante la tarjeta de proximidad y la huella dactilar para validar el marcaje. Desde SPEC se garantiza la seguridad de los datos biométricos, lo que coadyuva a cumplir con el RGPD.

El proceso de grabación de la huella en la tarjeta (enroll) se realiza desde el terminal idSense asociado a la tarjeta, y no se registran en el software de control horario. De esta manera, la información no queda registrada sólo en la tarjeta.

Verificación huella en tarjeta | Sistema de marcaje con huella que cumple con el RGPD

El nuevo sistema de marcaje Mifare Desfire de SPEC verifica la información de la tarjeta con la huella del usuario antes de validar el marcaje. En tal sentido, el proceso es muy sencillo: Primero, se acerca la tarjeta al terminal y se coloca el dedo en el sensor de huella. El terminal realiza la verificación y si es correcto envía el registro al software. En ningún momento, se mantiene la permanencia de datos.

Si bien los datos biométricos son considerados una información de carácter sensible, la Agencia Española de Protección de Datos Personales expone que:

“únicamente se considerará categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica y no en el caso de verificación biométrica”.

La tarjeta Mifare Desfire compara los datos almacenados en la tarjeta del empleado que es leída por el terminal, con la huella dactilar. Si ambos datos coinciden, el marcaje será válido.

Datos biométricos y su tratamiento en la protección de datos

El uso de datos biométricos es muy habitual, ya que con él desbloqueemos nuestros smartphones con nuestra huella dactilar o para acceder a la oficina o incluso registrar la jornada laboral. Sin embargo, a la hora de manejar estos datos, las organizaciones deben tener en cuenta la normativa de protección de datos y lo que establece al respecto de los datos biométricos y su tratamiento.

¿Qué son los datos biométricos? | Sistema de marcaje con huella que cumple con el RGPD

Los datos biométricos permiten reconocer a una persona de acuerdo a sus características fisiológicas o a partir del análisis previo de huellas dactilares, geometría de la mano, retina o iris del ojo o imagen facial y su registro y comparación, para identificar a una persona de manera inequívoca.

Se trata de un método automatizado para identificar usuarios, que incluye la identificación de empleados para acceder a las instalaciones de sus centros de trabajo.

Los datos biométricos analizan los rasgos y características físicas de una persona. En relación a la identidad digital, se utilizan para comprobar las características físicas únicas de una persona para verificar que es quien dice ser.

El dato biométrico se considera como dato personal, ya que permite identificar a la persona. Sin embargo, la legislación sobre datos biométricos, en concreto el RGPD solo considera el tratamiento de datos biométricos como categorías especiales de datos y, por tanto, como datos especialmente protegidos. Esta información biométrica se usa para identificar de manera inequívoca a una persona física, haciendo uso de medios técnicos específicos.

Por ejemplo, el uso de la huella dactilar de los empleados en el control de acceso al centro de trabajo; permite identificar al trabajador para que este pueda acceder a las instalaciones.

¿Qué tipos de datos biométricos existen? | Sistema de marcaje con huella que cumple con el RGPD

Existen diferentes tipos de datos biométricos y divisiones que están basadas en distintos aspectos.

La primera división de los datos biométricos se hace en función de su naturaleza, que se clasifican en tres categorías principales:

• Universal, el dato existe en todas las personas
• Único, el dato se distingue en cada persona
• Permanente, se mantiene a lo largo del tiempo

Otra forma de clasificar los datos biométricos

Se relaciona con las características individuales que recogen.

• Huella dactilar: Se obtiene mediante dispositivos que escanean la huella de una persona.
• Reconocimiento facial: Es un sistema de identificación que permite reconocer a una persona por los rasgos de su cara. Este reconocimiento biométrico analiza las facciones del rostro del individuo y las compara con otras personas, registradas en la base de datos.
• Análisis del iris: Se realiza a través de una cámara de infrarrojos, que hace una fotografía al ojo, obteniendo los detalles del iris.
• Geometría de la mano: De una imagen en 3-D de la mano de la mano de la persona, se puede determinar la longitud, curvatura y grosor de los dedos, las medidas y su estructura ósea.
• Reconocimiento de retina: Se realiza a través de un escáner de la retina, a través de una cámara de infrarrojos.
• Exámen vascular: Es el estudio de la geometría de las ramificaciones de las venas del dedo o de las muñecas.
• Identificación de firma: Se analiza la firma de la persona por comparación simple (entre dos o más firmas) o por verificación dinámica (forma y velocidad de la firma).
• Análisis de escritura: Se realiza a través de un reconocimiento óptico de los caracteres, mediante un software determinado. Existen dos tipos, el estático y el dinámico.
• Reconocimiento de voz: Se usan algoritmos que miden las muestras y devuelven el la identificación de la persona.
• Reconocimiento de escritura de teclado: Miden la fuerza con la que una persona teclea, el tiempo de pulsación del teclado.
• Análisis de la forma de andar: Analiza la forma de caminar de la persona mediante el uso de almohadillas especiales colocadas en el suelo y una cámara de alta resolución, que mide la distribución del peso, la velocidad de pasos y el estilo de caminar.

¿Para qué sirven los datos biométricos? | Sistema de marcaje con huella que cumple con el RGPD

Actualmente, los datos biométricos son usados para la protección de identidad del usuario,  a través de tecnologías de escáner y reconocimiento, para autenticar y verificar la identidad de una persona. Un ejemplo lo tenemos en el desbloqueo de los smartphones usando un lector de huellas.

También se emplean como método de control de acceso a instalaciones; mediante un lector de huellas para autorizar el acceso de las personas, previamente registradas en la base de datos.

También se utiliza en el control de migración o aduanas; los pasaportes biométricos son usados en diferentes países. En su chip almacenan los datos biométricos del titular, además de los datos personales, lo que permite un control más eficiente.

Los datos biométricos en la normativa de protección de datos (RGPD y LOPDGDD)

¿Qué dice la normativa de protección de datos sobre los datos biométricos? Como se dijo anteriormente, un dato biométrico se considera un dato personal, por lo que cualquier organización debe llevar a cabo un tratamiento de datos biométricos, teniendo en cuenta lo establecido en el RGPD como en la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales).

Los datos biométricos en el RGPD

El artículo 4.14 del RGPD define los datos biométricos como:

“… datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”

El artículo 9 eleva los datos personales a la categoría de «especialmente protegidos», cuando son usados para «identificar de manera unívoca a una persona física», por lo que su tratamiento exige cumplir con una serie de requisitos especiales. Es decir, la RGPD considera los datos biométricos como datos sensibles.

Los datos biométricos en la LOPDGDD

Por su parte, la ley orgánica de protección de datos en España solo menciona los datos biométricos en la protección de datos en las disposiciones adicionales relativas a la salud.

Sin embargo, sí establece en su artículo 9, las categorías especiales de datos, señalando que:

«… el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico».

Por su parte, la disposición final undécima señala que:

 «… si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley».

¿Cuándo se pueden tratar los datos biométricos? 

La base jurídica para tratar datos biométricos se establecen en el artículo 9 del RGPD:

• Por consentimiento explícito del interesado
• Para proteger el interés vital del interesado cuando se encuentre incapacitado a tomar decisiones
• Cuando se requiera  el cumplimiento de obligaciones establecidas o para ejercer los derechos de la protección de datos
• En caso de que los datos sean públicos y han sido publicados por el interesado
• Por interés público esencial siempre que sea proporcional al objetivo perseguido
• Para fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador.

Obligaciones de protección de datos para empresas que tratan datos biométricos

Las principales obligaciones que tienen las empresas para cumplir con la ley de protección de datos biométricos se describen a continuación:.

• Deber de información:

Los responsables del manejo de datos biométricos deben informar a las personas interesadas sobre la identidad de los responsables, encargados del tratamiento o sus representantes, la finalidad del mismo, el plazo de conservación de datos, la cesión de datos a terceros o las vías para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).

• Consentimiento de los afectados:

El afectado deberá dar su consentimiento explícito al tratamiento de sus datos. Por ejemplo, el empresario que desee instalar un control de acceso deberá solicitar a sus empleados firmar un escrito mediante el cual dan su consentimiento al tratamiento de sus datos.

• Deber de seguridad:

Los responsables del tratamiento deben aplicar de manera proactiva todas las medidas necesarias para garantizar la seguridad e integridad de la información, con el objetivo de evitar la pérdida o el robo de datos o los accesos de terceros no autorizados. También deben informar a la Agencia Española de Protección de Datos (AEPD) si se produce una brecha de seguridad en un plazo de 72 horas.

• Deber de confidencialidad:

Los responsables del tratamiento deben cumplir con el deber de confidencialidad, es decir, no revelar a terceros los datos a los que se ha tenido acceso. Esto incluye la obligatoriedad de firmar un acuerdo de confidencialidad con los encargados del proceso o con los empleados que tengan acceso a los datos biométricos. 

• Evaluación de Impacto:

Es obligatoria la realización de una Evaluación de Impacto del sistema de gestión de datos que permitirá determinar las medidas necesarias para garantizar la protección y seguridad de los datos biométricos.

• Principio de necesidad, idoneidad y proporcionalidad en el tratamiento:

Los datos biométricos deben ser recogidos para fines determinados y no para realizar procedimientos distintos a los recopilados en el consentimiento del interesado.

El principio de necesidad implica que los datos biométricos recabados deben ser los adecuados y nunca excesivos para los fines del tratamiento.

El principio de idoneidad y proporcionalidad hace referencia a los riesgos que implican la protección de los derechos y libertades fundamentales de las personas. También para los fines que no pueden alcanzarse de otra forma menos agresiva.

Es decir, que si una empresa requiere hacer uso de datos biométricos, como la huella dactilar para el control de acceso, debe justificar que se trata de una medida idónea y necesaria y que no hay una forma menos agresiva o invasiva.

• Registro de las actividades de tratamiento:

Es obligatorio mantener un registro de las actividades del manejo de datos bajo la responsabilidad de la entidad.

Una base de datos biométricos debe contener como mínimo la siguiente información:

• Nombre y los datos de contacto:
  • Responsable.
  • Encargados.
  • Representante del responsable.
  • Delegado de protección de datos.
• Fines del tratamiento.
• Descripción de las categorías de interesados y de los datos personales.
• Categorías de destinatarios a quienes comunicar los datos personales.
• Plazos previstos para la supresión de las categorías de datos.