Cada vez más empresas instalan métodos de identificación de trabajadores consistentes en el análisis de distintos aspectos biométricos de los mismos.

La finalidad es controlar el acceso al puesto de trabajo, para impedir accesos no autorizados a las instalaciones y controlar los horarios y presencia.

Aunque en principio pueda parecer que este tratamiento no supone ningún riesgo ni se considere un tratamiento especial, debemos tener en cuenta que la nueva normativa de protección de datos se refiere específicamente al tratamiento de datos biométricos. Y exige un marco de control exhaustivo y delimitado que debemos cumplir obligatoriamente si no queremos ser sancionados.

Según la definición del Reglamento General de Protección de Datos (RGPD), los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única.

Datos biométricos son, por tanto, aquellos que posibiliten la identificación de una persona física a través de procesos técnicos, que recopilen información relativa al aspecto físico, corporal o conductual. Como su imagen facial, huella digital o similares.

Según su naturaleza, los datos biométricos se dividen en tres categorías principales:

  • Universal: es el dato que existe en todas las personas sin distinción
  • Único: dato distinguible en cada individuo
  • Permanente: dato mantenido de forma continua

Según las características individuales que recogen, se diferencian dos grupos:

  • Características físicas y fisiológicas
    • Huella dactilar
    • Reconocimiento facial
    • Reconocimiento de iris
    • Geometría de la mano
    • Reconocimiento de retina
    • Reconocimiento vascular
  • Características del comportamiento y la personalidad
    • Reconocimiento de firma
    • Reconocimiento de escritura
    • Reconocimiento de voz
    • Reconocimiento de escritura de teclado
    • Reconocimiento de la forma de andar

Obligaciones de las empresas

El responsable del tratamiento debe tener siempre un consentimiento expreso del titular de los datos biométricos para poder tratarlos.

Y además, ese consentimiento debe reunir unas características. Debe ser libre, específico, informado e inequívoco.

Un pilar básico para un efectivo sistema de protección de datos personales es la seguridad de esos datos, entendida como la implementación de medidas administrativas, físicas y técnicas para garantizar y velar por la integridad, confidencialidad y disponibilidad de los datos personales.

Medidas de seguridad específicas para proteger los datos biométricos

La empresa debe:

  • Revisar que la tecnología biométrica contemple mecanismos de cifrado en el almacenamiento y el tránsito de los datos.
  • Restringir el acceso a los datos biométricos únicamente a personal autorizado.
  • Guardar todos los accesos a los datos biométricos.
  • Evitar cruces de información innecesarios entre los sistemas biométricos y otros sistemas de tratamiento.
  • Se sugiere adquirir sistemas biométricos que almacenen únicamente la plantilla con minucias de huellas dactilares en lugar de la representación completa de la misma para que sea más difícil su recreación en caso de que la información sea robada.
  • Minimizar el uso de bases de datos centralizadas para el almacenamiento de biométricos.
  • Contar con un sitio alterno para resguardar las bases de datos biométricos, el cual deberá estar provisto con las medidas de seguridad suficientes.
  • Guardar secreto respecto de los datos biométricos en cualquier fase del tratamiento, incluso después de finalizar la relación con el titular.
  • Verificar que los encargados del tratamiento también guarden confidencialidad de los datos personales que manejan por cuenta del responsable, aun después de concluida la relación con éste.
  • Establecer controles o mecanismos que tengan por objeto que todas las personas que intervengan en cualquier fase del tratamiento de los datos biométricos, incluidos los propios empleados del responsable, eviten la divulgación de éstos.
  • No difundir datos biométricos a terceros sin consentimiento de su titular.
  • Definir claramente al personal autorizado para tener acceso y para tratar datos biométricos dentro de la organización, o bien, por terceros que actúen a nombre y por cuenta del responsable. Al respecto, se considera pertinente el uso de cláusulas contractuales que delimiten las obligaciones de los empleados dentro de la empresa, así como del encargado.