Segurament, ja estàs acostumat a desbloquejar el mòbil amb l’empremta dactilar o amb reconeixement facial.
Però, què passa quan utilitzes el mateix sistema per accedir al teu lloc de treball o per registrar la teva jornada laboral?
Tant l’empremta dactilar com el reconeixement facial es consideren dades biomètriques. I per tractar aquesta classe de dades, les empreses han de tenir molt en compte què especifica la llei de protecció de dades al respecte.
T’expliquem què són les dades biomètriques, quines classes hi ha i en quines situacions les empreses poden tractar-les sense incomplir la normativa.
Què són les dades biomètriques?
Les dades biomètriques, tal com les defineix el Reglament General de Protecció de Dades (RGPD), són les dades personals – siguin físiques, fisiològiques o conductuals – obtingudes a partir d’un tractament tècnic específic, que permeten o confirmen la identificació d’una persona.
I com que són dades personals que permeten identificar una persona de manera inequívoca, les empreses han de prendre una sèrie de mesures per al seu tractament.
Classes de dades biomètriques
Segons la mena d’informació que recullen, es poden distingir 5 classes principals de dades biomètriques:
- Empremta dactilar. Una de les dades biomètriques més utilitzades (per desbloquejar el mòbil, per accedir a l’aplicació del banc o per entrar a l’oficina).
- Reconeixement facial. Una altra classe de les més comunes – també per desbloquejar el mòbil. Aquest reconeixement varia amb l’edat de la persona i pot ser fotomètric (dona informació de tota la cara), geomètric (només analitza aspectes facials específics com els ulls o el nas, entre altres) o mixt (una combinació dels dos anteriors).
- Reconeixement de l’iris de l’ull. Un dels mètodes més fiables perquè, a diferència del reconeixement facial, no canvia amb el temps.
- Reconeixement de la geometria de la mà. S’obté una imatge 3D de la mà i informació de l’estructura òssia o el gruix dels dits.
- Reconeixement vascular. Un mètode que analitza els patrons de les venes dels dits o dels canells de cada persona.
A més de totes aquestes classes de dades biomètriques, també trobem el reconeixement de la signatura, de l’escriptura, de la veu o, fins i tot, de la forma de caminar.
Com tractar-les segons la llei de protecció de dades?
Com hem comentat abans, les dades biomètriques es consideren dades personals i, segons l’article 9 del RGPD, estan a la categoria de dades especialment protegides:
Queden prohibits el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals d’una persona física.
En quines situacions es poden tractar aquestes dades?
Així mateix, en l’article 9 del RGPD, s’indica que es permet el tractament de dades biomètriques quan:
- Tenim el consentiment explícit de l’interessat.
- Són necessàries per al compliment de les obligacions establertes o per dur a terme els drets de protecció de dades.
- Són necessàries per a protegir interessos vitals de l’interessat o d’una altra persona física, en el suposat que aquesta no estigui capacitada per donar el seu consentiment.
- Les dades són públiques i han sigut publicades per l’interessat.
- Tenen objectius relacionats amb la medicina preventiva o laboral, qüestions socials, de defensa jurídica o per avaluar les capacitats de la persona treballadora.
Pots consultar el reglament aquí.
Puc utilitzar dades biomètriques per al control horari de la meva empresa?
Si a la teva empresa realitzes el control d’horari mitjançant algun sistema biomètric (empremta dactilar, facial, etc.), has de saber el següent:
- Aquest sistema es desaconsella per al registre de control laboral, ja que existeixen altres mètodes menys invasius com ara aplicacions, targetes, fitxatge manual, etc.
- Si finalment optes per emprar-lo, necessitaràs sol·licitar una Avaluació d’Impacte que permeti determinar els riscos que suposa aquest mètode de recollida de dades i les mesures que s’han d’adoptar per minimitzar-los.
- L’AEPD (Agencia Española de Protección de Datos) diferencia entre ‘identificació biomètrica’ i ‘autenticació biomètrica’. I és que, en el segon dels casos, no es considerarà tractament de dades biomètriques. Així:
- La identificació és el procés de reconèixer a un individu particular entre un grup. Aquest procés compara les dades de l’individu a identificar amb les dades de cada individu en el grup.
- L’autenticació, d’altra banda, és el procés de provar que és certa la identitat reclamada per un individu.
Et pot interessar: 14 equívocos con relación a la identificación y autenticación biométrica
- Per últim, si fas servir un lector d’empremtes, assegura’t que sigui d’autenticació biomètrica i que només guardi una imatge algorítmica de l’empremta.
En cas de no complir el RGPD, les sancions poden costar-te milions d’euros i repercutir en la imatge del teu negoci.
I no és cap mite:
Recentment, l’AEPD ha sancionat una empresa amb 20.000 € per utilitzar un sistema de registre de dades biomètriques sense haver realitzat prèviament una avaluació d’impacte i detectat els riscos que això comporta.
També hi ha altres casos com, per exemple, la multa de 2,5 milions d’euros a Mercadona per infringir el RGPD amb el seu sistema de reconeixement facial.
Si tens dubtes sobre el teu sistema de registre horari o sobre el tractament de dades biomètriques a la teva empresa, contacta amb nosaltres.