¿Los datos biométricos implican siempre un tratamiento de categorías especiales de datos?
La guía confirma que no todo tratamiento de datos biométricos implica un tratamiento de categorías especiales de datos.
El artículo 4.14 del Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) define los datos biométricos, de una manera amplia, como los «Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».
De la lectura de estos dos preceptos y de acuerdo con las directrices del Libro Blanco de Inteligencia Artificial, la AEPD concluye claramente en esta guía una directriz que ya venía dando en sus últimas resoluciones: no todo tratamiento de datos biométricos debe considerarse tratamiento de categorías especiales de datos o datos sensibles.
¿Cuál es la diferencia entre verificación e identificación biométrica?
Existen dos formas de realizar un reconocimiento biométrico: verificación e identificación. Basándose en las características que presentan estos dos tipos de sistema, la guía de la AEPD concluye que “con carácter general, los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.
- Verificación o autenticación biométrica: La finalidad es comprobar si un individuo es quien dice ser, comparándose los datos del individuo únicamente con otros datos asociados a la identidad reclamada (uno-a-uno, 1:1).
- Identificación biométrica: La finalidad es conocer si un individuo particular es uno de los miembros de un grupo predeterminado, comparándose los datos del individuo a identificar con los datos de todos y cada de los individuos incluidos dentro de ese grupo para comprobar si es uno de ellos (uno-a-varios, 1:N).
¿Cuándo resulta legítimo el tratamiento de datos biométricos?
La AEPD incide ahora que, en el marco de una relación laboral, la implantación de un sistema de control de accesos de empleados y registro de jornada laboral que emplee datos biométricos, puede basarse en el cumplimiento de las obligaciones y el ejercicio de los derechos que la legislación laboral, de seguridad y protección social contempla para el empleador. Por tanto, sin necesidad de un consentimiento de los trabajadores.
¿Es válido cualquier sistema de reconocimiento facial?
- Información clara y transparente a los usuarios del sistema. El trabajador debe ser informado sobre el tratamiento.
- Protección de datos “desde el diseño” del sistema.
- Almacenamiento preferente de vectores biométricos en lugar de los datos en bruto (p.ej. imagen facial, audio, etc.). Además, será preferente su almacenamiento en dispositivos personales en lugar de centralizados.
- Vectores biométricos no interoperables con otros sistemas. Esta es una característica intrínseca al empleo de sistemas biométricos actuales, que están basados en Inteligencia Artificial, como los que emplea dasGate.
- Garantizar que los datos no se emplean para otra finalidad.
- Adecuada protección de los datos biométricos mediante tecnología de cifrado.
- Posibilidad de revocar el vínculo de identidad. En este sentido, debe hacerse referencia a la irreversibilidad de los vectores en los sistemas biométricos basados en Inteligencia Artificial, como los que emplea dasGate.
- Limitación de la finalidad del tratamiento.
- En caso de emplearse un sistema de identificación biométrica, se deberá realizar una evaluación de impacto.
dasGate y Veridas, referentes en el sector de la biometría
Los sistemas de control de accesos de dasGate utilizan la tecnología biométrica de Veridas. Estos motores están basados en Inteligencia Artificial y diseñados para la protección de datos por defecto y desde el diseño. dasGate y Veridas promueven además la realización de evaluaciones de impacto de sus soluciones, para ayudar a sus clientes en el proceso de análisis e implementación de sus servicios. Asimismo, ambas empresas tienen implantado un sistema de gestión de seguridad de la información, avalado por certificaciones como la norma ISO/IEC 27001 y el Esquema Nacional de Seguridad.