dasGate Uso de datos biométricos en el control de accesos de empleados

La Agencia Española de Protección de Datos (AEPD) publica, con fecha 18 de mayo de 2021, la guía de “La protección de datos en las relaciones laborales”.

¿Los datos biométricos implican siempre un tratamiento de categorías especiales de datos?

La guía confirma que no todo tratamiento de datos biométricos implica un tratamiento de categorías especiales de datos.

El artículo 4.14 del Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) define los datos biométricos, de una manera amplia, como los «Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».

El artículo 9.1 del RGPD, que define las categorías especiales de datos sólo incluye entre ellas un tipo de uso datos biométricos: “los datos biométricos dirigidos a identificar de manera unívoca a una persona”.

De la lectura de estos dos preceptos y de acuerdo con las directrices del Libro Blanco de Inteligencia Artificial, la AEPD concluye claramente en esta guía una directriz que ya venía dando en sus últimas resoluciones: no todo tratamiento de datos biométricos debe considerarse tratamiento de categorías especiales de datos o datos sensibles.

¿Cuál es la diferencia entre verificación e identificación biométrica?

Existen dos formas de realizar un reconocimiento biométrico: verificación e identificación. Basándose en las características que presentan estos dos tipos de sistema, la guía de la AEPD concluye que “con carácter general, los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.

Verificación o autenticación biométrica: La finalidad es comprobar si un individuo es quien dice ser, comparándose los datos del individuo únicamente con otros datos asociados a la identidad reclamada (uno-a-uno, 1:1).
Identificación biométrica: La finalidad es conocer si un individuo particular es uno de los miembros de un grupo predeterminado, comparándose los datos del individuo a identificar con los datos de todos y cada de los individuos incluidos dentro de ese grupo para comprobar si es uno de ellos (uno-a-varios, 1:N).

La AEPD recomienda el uso de la verificación biométrica, pero no prohíbe la identificación biométrica, al contrario, la contempla de modo expreso para el control de acceso y registro de jornada de los empleados, siempre que se cumplan con el resto de requisitos establecidos en el RGPD.

¿Cuándo resulta legítimo el tratamiento de datos biométricos?

Los datos personales sólo pueden ser objeto de tratamiento si concurre alguna de las bases legitimadoras previstas en el artículo 6 del RGPD.

En el caso de categorías especiales de datos, su tratamiento está prohibido salvo que se dé alguna de las excepciones recogidas en el artículo 9.2 del RGPD. Es decir, en estos caso, además de la base legitimadora para su tratamiento tiene que concurrir una de las excepciones.

El consentimiento del usuario constituye tanto una base legitimadora para cualquier tratamiento de datos como uno de los supuestos previstos para el tratamiento de categorías especiales de datos. Por tanto si la persona consiente en ese tratamiento, se puede llevar a cabo.

La AEPD incide ahora que, en el marco de una relación laboral, la implantación de un sistema de control de accesos de empleados y registro de jornada laboral que emplee datos biométricos, puede basarse en el cumplimiento de las obligaciones y el ejercicio de los derechos que la legislación laboral, de seguridad y protección social contempla para el empleador. Por tanto, sin necesidad de un consentimiento de los trabajadores.

¿Es válido cualquier sistema de reconocimiento facial?

La AEPD recuerda que los sistemas biométricos deben cumplir siempre con los requisitos establecidos en el RGPD, entre los que se encuentran:

Información clara y transparente a los usuarios del sistema. El trabajador debe ser informado sobre el tratamiento.
Protección de datos “desde el diseño” del sistema.
Almacenamiento preferente de vectores biométricos en lugar de los datos en bruto (p.ej. imagen facial, audio, etc.). Además, será preferente su almacenamiento en dispositivos personales en lugar de centralizados.
Vectores biométricos no interoperables con otros sistemas. Esta es una característica intrínseca al empleo de sistemas biométricos actuales, que están basados en Inteligencia Artificial, como los que emplea dasGate.
Garantizar que los datos no se emplean para otra finalidad.
Adecuada protección de los datos biométricos mediante tecnología de cifrado.
Posibilidad de revocar el vínculo de identidad. En este sentido, debe hacerse referencia a la irreversibilidad de los vectores en los sistemas biométricos basados en Inteligencia Artificial, como los que emplea dasGate.
Limitación de la finalidad del tratamiento.
En caso de emplearse un sistema de identificación biométrica, se deberá realizar una evaluación de impacto.

dasGate y Veridas, referentes en el sector de la biometría

Los sistemas de control de accesos de dasGate utilizan la tecnología biométrica de Veridas. Estos motores están basados en Inteligencia Artificial y diseñados para la protección de datos por defecto y desde el diseño. dasGate y Veridas promueven además la realización de evaluaciones de impacto de sus soluciones, para ayudar a sus clientes en el proceso de análisis e implementación de sus servicios. Asimismo, ambas empresas tienen implantado un sistema de gestión de seguridad de la información, avalado por certificaciones como la norma ISO/IEC 27001 y el Esquema Nacional de Seguridad.