Cumplimos el RGPD UE 2016/679 y la LOPD GDD 3/2018

El empleo de un sistema basado en Inteligencia Artificial permite ofrecer unas garantías de precisión, seguridad y protección de datos en el sentido requerido por los principios de privacidad por defecto y desde el diseño.

BIOMETRÍA

100% privada y 100% segura

La tecnología facial que utiliza dasGate está desarrollada por su filial Veridas Digital Authentication SL y es evaluada continuamente por el Instituto Nacional de Estándares y Tecnologías de los Estados Unidos (NIST).

El vector que se genera partiendo de la foto o selfie del usuario es irreversible. Es decir, del vector nunca se puede llegar a la imagen de la que se creó.

El vector que se genera de la foto o selfie del usuario no contiene información sensible alguna por lo que la  pérdida de un vector no supone riesgo ni para el usuario ni para el cliente.

La autenticación de un usuario se realiza por comparación de vectores y no de características biométricas.

USO DE DATOS BIOMÉTRICOS

en el control de accesos de empleados

La Agencia Española de Protección de Datos (AEPD) publica, con fecha 18 de mayo de 2021, la guía de “La protección de datos en las relaciones laborales”.

Esta guía pretende ser una herramienta práctica de ayuda a las organizaciones públicas y privadas para el adecuado cumplimiento de la legislación en esta materia.

De entre todas las consideraciones que contiene esta guía, resultan de gran interés las referidas al uso de datos biométricos para la gestión de la relación laboral, para el que establece una serie de directrices cuyos principios pueden también aplicarse al tratamiento de datos biométricos en otros ámbitos.

¿Los datos biométricos implican siempre un tratamiento de categorías especiales de datos?

La guía confirma que no todo tratamiento de datos biométricos implica un tratamiento de categorías especiales de datos.

El artículo 4.14 del Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) define los datos biométricos, de una manera amplia, como los «Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».

El artículo 9.1 del RGPD, que define las categorías especiales de datos sólo incluye entre ellas un tipo de uso  datos biométricos: “los datos biométricos dirigidos a identificar de manera unívoca a una persona”.

De la lectura de estos dos preceptos y de acuerdo con las directrices del Libro Blanco de Inteligencia Artificial, la AEPD concluye claramente en esta guía una directriz que ya venía dando en sus últimas resoluciones: no todo tratamiento de datos biométricos debe considerarse tratamiento de categorías especiales de datos o datos sensibles.

¿Cuál es la diferencia entre verificación e identificación biométrica?

Existen dos formas de realizar un reconocimiento biométrico: verificación e identificación. Basándose en las características que presentan estos dos tipos de sistema, la guía de la AEPD concluye que “con carácter general, los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.

  • Verificación o autenticación biométrica: La finalidad es comprobar si un individuo es quien dice ser, comparándose los datos del individuo únicamente con otros datos asociados a la identidad reclamada (uno-a-uno, 1:1).
  • Identificación biométrica: La finalidad es conocer si un individuo particular es uno de los miembros de un grupo predeterminado, comparándose los datos del individuo a identificar con los datos de todos y cada de los individuos incluidos dentro de ese grupo para comprobar si es uno de ellos (uno-a-varios, 1:N).

La AEPD recomienda el uso de la verificación biométrica, pero no prohíbe la identificación biométrica, al contrario, la contempla de modo expreso para el control de acceso y registro de jornada de los empleados, siempre que se cumplan con el resto de requisitos establecidos en el RGPD. 

¿Cuándo resulta legítimo el tratamiento de datos biométricos?

Los datos personales sólo pueden ser objeto de tratamiento si concurre alguna de las bases legitimadoras previstas en el artículo 6 del RGPD.

En el caso de categorías especiales de datos, su tratamiento está prohibido salvo que se dé alguna de las excepciones recogidas en el artículo 9.2 del RGPD. Es decir, en estos caso, además de la base legitimadora para su tratamiento tiene que concurrir una de las excepciones.

El consentimiento del usuario constituye tanto una base legitimadora para cualquier tratamiento de datos como uno de los supuestos previstos para el tratamiento de categorías especiales de datos. Por tanto si la persona consiente en ese tratamiento, se puede llevar a cabo.

La AEPD incide ahora que, en el marco de una relación laboral, la implantación de un sistema de control de accesos de empleados y registro de jornada laboral que emplee datos biométricos,  puede basarse en el cumplimiento de las obligaciones y el ejercicio de los derechos que la legislación laboral, de seguridad y protección social contempla para el empleador. Por tanto, sin necesidad de un consentimiento de los trabajadores.

¿Es válido cualquier sistema de reconocimiento facial?

La AEPD recuerda que los sistemas biométricos deben cumplir siempre con los requisitos establecidos en el RGPD, entre los que se encuentran:

  1. Información clara y transparente a los usuarios del sistema. El trabajador debe ser informado sobre el tratamiento.
  2. Protección de datos “desde el diseño” del sistema. 
  3. Almacenamiento preferente de vectores biométricos en lugar de los datos en bruto (p.ej. imagen facial, audio, etc.). Además, será preferente su almacenamiento en dispositivos personales en lugar de centralizados.
  4. Vectores biométricos no interoperables con otros sistemas. Esta es una característica intrínseca al empleo de sistemas biométricos actuales, que están basados en Inteligencia Artificial, como los que emplea das-Nano.
  5. Garantizar que los datos no se emplean para otra finalidad.
  6. Adecuada protección de los datos biométricos mediante tecnología de cifrado.
  7. Posibilidad de revocar el vínculo de identidad. En este sentido, debe hacerse referencia a la irreversibilidad de los vectores en los sistemas biométricos basados en Inteligencia Artificial, como los que emplea das-Nano.
  8. Limitación de la finalidad del tratamiento.
  9. En caso de emplearse un sistema de identificación biométrica, se deberá realizar una evaluación de impacto.

PREGUNTAS FRECUENTES

relacionadas con la biometría

¿Debo estar tranquilo/a cuando registran mi foto o selfie para hacer un reconocimiento facial?

Desde luego. Sólo se empleará para las finalidades para las que has sido informado/a, y, como te hemos explicado, el uso del vector está muy acotado y controlado.

¿Se puede usar mi cara para una finalidad distinta al control de accesos?

No, únicamente se tratarán tus datos para la finalidad concreta para la que se te informó y diste tu consentimiento.

¿Por qué es mejor un acceso con reconocimiento facial que uno con tarjeta de proximidad o QR?

Y si alguien tiene acceso o roba mi vector biométrico, ¿puede utilizarlo por mí?

No, nadie podrá acceder al servicio donde estás registrado/a aunque conociese tu vector. Para conceder el acceso, un vector siempre se compara contra otro (en este caso, extraído de una foto tuya tomada en el momento del acceso), así que no le serviría para nada.

¿Qué es la biometría?

¿Cómo se puede usar la biometría?

Los orígenes de la biometría

TIPOS DE APLICACIÓN

de la biometría facial

Según la ISO 2382-37, la biometría es “el reconocimiento automático de los individuos en función de sus características biológicas y de comportamiento”.

La tecnología biométrica puede aplicarse de dos formas distintas:

Con fines de identificación. Este es el método conocido como 1:N, puesto que compara a un individuo contra un grupo (es decir, contra cada una de las personas que conforman ese grupo). La finalidad es conocer si ese individuo es uno de los pertenecientes a ese grupo.

Con fines de autenticación o verificación. Este método se basa en un 1:1, dado que los datos del individuo se comparan contra otros datos asociados a ese mismo individuo. La finalidad en este caso es comprobar su identidad, es decir, que es quien dice ser.

De la BIOMETRÍA

a un vector irreversible

Un sistema de reconocimiento biométrico, sea para autenticación o identificación, debe partir siempre de la captura de los datos del individuo. Estos datos son las características biométricas (p.ej. imagen facial, voz, etc).

Los datos serán procesados por un motor biométrico para, a partir de ellos, producir un template o vector biométrico, es decir, una referencia digital de un conjunto de características que se usan luego para la autenticación o identificación de un individuo.

Una vez se tiene el vector del individuo a identificar o autenticar, se puede proceder a la comparación frente a otro/s vector/es. Es importante señalar que la comparación se realiza siempre entre vectores, entre referencias digitales, y no entre características biométricas.

Biometría de inteligencia artificial

El vector matemático generado por Veridas no es una representación de los puntos de las características biométricas del sujeto.

Como consecuencia, ni siquiera el ingeniero experto que ha diseñado el sistema es capaz de interpretar el vector matemático con la finalidad de extraer información del individuo que prestó sus datos.

Por tanto, teniendo un vector no se puede extraer información del individuo al que pertenece ni identificarlo. Disponer de ese vector, por tanto, no supone que la información biométrica haya sido comprometida ni que ya no se pueda cancelar.

Cómo entrenamos nuestro motor facial

Para el entrenamiento de los sistemas, Veridas hace uso de bases de datos públicas destinadas a estos fines o, en su defecto, de bases de datos privadas creadas por la entidad recabando el consentimiento de los sujetos para esta finalidad específica.

En ningún caso se emplean los datos que están siendo procesados por el motor biométrico para la prestación del servicio de identificación o autenticación en producción, para el entrenamiento automático del sistema. No hay entrenamiento del sistema durante la identificación o autenticación de usuarios en producción.

Cumplimos

el RGPD UE 2016/679 y la LOPD GDD 3/2018

Para más información

Si quieres concertar una demo o solicitar información concreta sobre la solución que mejor se adapta a tu negocio, déjanos tus datos.