Datos biométricos en las empresas

Datos biométricos en las empresas

Los datos biométricos son definidos por el artículo 4.14 del Reglamento General de Protección de Datos (RGPD), como aquellos datos personales obtenidos de un tratamiento técnico y referidos a determinadas características físicas, fisiológicas, incluso conductuales de una persona y que con estos, se permita o confirme la identificación unívoca de esa persona, como por ejemplo, los datos dactiloscópicos o las imágenes faciales.

Datos biométricos y la protección de datos

Por regla general, el tratamiento de este tipo de datos está prohibido, salvo que concurra alguna de las circunstancias enumeradas en el artículo 9.2 del RGPD.

Además están considerados como datos personales de categoría especial según el artículo 9 del RGPD.

Teniendo en cuenta lo anterior, tratar datos biométricos no está exento de ciertas dificultades, ya que en estos tratamientos es necesario tomar en consideración ciertos factores para determinar el nivel de intrusión en la esfera personal de los titulares de los datos, por lo que se tiene que evaluar si son adecuados o no, la proporcionalidad y necesidad del tratamiento, la finalidad a la que responde el tratamiento, el impacto en los derechos y libertades de las personas físicas y los riesgos que este tipo de tratamientos tiene tanto para los individuos como para la sociedad.

¿Qué se debe tener en cuenta para tratar datos biométricos?

La AEPD señala algunos criterios prácticos para llevar a cabo este tipo de tratamiento, atendiendo a distintos puntos importantes:

Finalidad del tratamiento:

Debe ser determinado, explícito y legítimo.

Marco normativo:

Cumplir la normativa de protección de datos y la específica sobre biometría, aunado a la normativa del sector donde se desarrolla la empresa, en su caso. Para este caso, deberá de tenerse en cuenta lo dispuesto en el artículo 25.1 RGPD relativo a la protección de datos desde el diseño.

Idoneidad y necesidad:

Llevar a cabo este tipo de tratamientos siempre comprende la necesidad de realizar una evaluación sobre el mismo, de manera que pueda analizarse si el tratamiento, de acuerdo con la finalidad, es idóneo y necesario. Idóneo, por ser el más adecuado, y necesario, porque no existe otra manera de obtener los datos según la finalidad perseguida.

Tratamiento menos intrusivo:

En la medida de lo posible, y habiendo analizado lo adecuado del tratamiento, así como la proporcionalidad de la medida y la necesidad, hay que utilizar aquellas técnicas de biometría menos intrusivas para las personas, siendo algunos ejemplos de ellas, las siguientes:

  • Detección de seres humanos
  • Reconocimiento facial, huella dactilar, iris
  • Evaluación de modelos y comportamientos de las personas
  • Creación de perfiles y decisiones automatizadas
  • Autenticación
  • Identificación
  • Seguimiento de personas

Impacto del tratamiento:

Para evaluar el impacto, será necesario atender lo siguiente:

  • Número de sujetos afectados
  • Volumen de parámetros biométricos utilizados
  • Ámbito geográfico del tratamiento
  • Plazos de conservación de los datos
  • Frecuencia en la recogida de datos

También para evaluar el impacto, será determinante conocer el contexto en el cual se lleva a cabo el tratamiento: marco normativo, ámbito de desarrollo (laboral, social, empresarial, etc.).

Intervención humana:

Si existe intervención humana en las técnicas biométricas, ésta deberá ser cualificada, con el objetivo de minimizar los riesgos inherentes al tratamiento.

Transparencia:

En el proceso de recogida de los datos biométricos, para mayor protección de las personas, y que sea menos intrusivo, se debe ser transparente en explicar qué tipo de dato biométrico se va a tratar, con qué finalidad, cuáles son los derechos que le asisten a la persona en dicho tratamiento, por cuánto tiempo se realizará el tratamiento, así como el consentimiento por parte de la persona. Cuanta menos información se le proporcione a las personas acerca del tratamiento del dato biométrico, más intrusivo será éste.

Minimización de datos:

En cualquier tratamiento se deben utilizar únicamente los datos que son necesarios para las finalidades descritas, de manera que impere el principio de minimización, ya que algunas técnicas biométricas pueden obtener información adicional de las personas, como la raza, alteraciones en el rostro como cicatrices, estados emocionales, que son datos que pueden o no estar ligados con la finalidad del tratamiento.

Control de los datos:

Para que el tratamiento sea menos intrusivo, hay que otorgarle al interesado, en la medida de lo posible y según la técnica biométrica utilizada, el mayor control sobre sus datos, en relación con la recogida, procesamiento y almacenamiento.

Vulnerabilidades:

Como en cualquier tratamiento, hay que evaluar las posibles brechas de seguridad que se puedan producir, e implementar las medidas de seguridad adecuadas. Como en las técnicas biométricas se tratan datos de categoría especial, conocer las vulnerabilidades del tratamiento es indispensable.

Operatividad:

Para poner en marcha una operación biométrica, es muy importante elegir de manera correcta los elementos que están involucrados, tanto para la recogida, procesamiento, almacenamiento, plazos de conservación, medidas de seguridad, siendo recomendable que sea la empresa quien en mayor medida pueda controlar y acceder a estos elementos, con el fin de minimizar riesgos en el tratamiento.

Evaluación de Impacto de protección de datos

Todo lo anterior podría formar parte de la Evaluación de Impacto (EIPD), en la que se determinarán las medidas de seguridad concretas.

Business Adapter® a tu servicio

Si aún no eres cliente y quieres que te elaboremos una EIPD o te ayudemos a cumplir con el resto de obligaciones establecidas en la Normativa de protección de datos europea y española (RGPD + LOPD) a la cual está obligada cualquier empresa o profesional, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario:



error: Content is protected !!