BLOG

Lee los últimos
artículos sobre
protección de datos

Datos biométricos: ¿Qué son y cómo tratarlos según la ley de protección de datos?
Portada_Datos biométricos: ¿Qué son y cómo tratarlos según la ley de protección de datos?

Seguramente, ya estás acostumbrado a desbloquear el móvil con la huella dactilar o con reconocimiento facial.

Pero, ¿qué pasa cuando utilizas el mismo sistema para acceder a tu puesto de trabajo o para registrar tu jornada laboral?

Tanto la huella dactilar como el reconocimiento facial se consideran datos biométricos. Y para tratar esta clase de datos, las empresas tienen que tener muy en cuenta qué especifica la ley de protección de datos al respeto.

Te explicamos qué son los datos biométricos, qué clases hay y en qué situaciones las empresas pueden tratarlos sin incumplir la normativa.

¿Qué son los datos biométricos?

Los datos biométricos, tal como los define el Reglamento General de Protección de Datos (RGPD), son los datos personales – sean físicos, fisiológicos o conductuales – obtenidos a partir de un tratamiento técnico específico, que permiten o confirman la identificación de una persona.

Y como son datos personales que permiten identificar a una persona de manera inequívoca, las empresas tienen que tomar una serie de medidas para su tratamiento.

Clases de datos biométricos

Según el tipo de información que recogen, se pueden distinguir 5 clases principales de datos biométricos:

  • Huella dactilar. Uno de los datos biométricos más utilizados (para desbloquear el móvil, para acceder a la aplicación del banco o para entrar a la oficina).
  • Reconocimiento facial. Otra clase de las más comunes – también para desbloquear el móvil. Este reconocimiento varía con la edad de la persona y puede ser fotométrico (da información de toda la cara), geométrico (solo analiza aspectos faciales específicos como los ojos o la nariz, entre otros) o mixto (una combinación de los dos anteriores).
  • Reconocimiento del iris del ojo. Uno de los métodos más fiables porque, a diferencia del reconocimiento facial, no cambia con el tiempo.
  • Reconocimiento de la geometría de la mano. Se obtiene una imagen 3D de la mano e información de la estructura ósea o el grosor de los dedos.
  • Reconocimiento vascular. Un método que analiza los patrones de las venas de los dedos o de las muñecas de cada persona.
  • Además de todas estas clases de datos biométricos, también encontramos el reconocimiento de la firma, de la escritura, de la voz o, incluso, de la forma de andar.

¿Cómo tratarlos según la ley de protección de datos?

Cómo hemos comentado antes, los datos biométricos se consideran datos personales y, según el artículo 9 del RGPD, están en la categoría de datos especialmente protegidos:

Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

¿En qué situaciones se pueden tratar estos datos?

Así mismo, en el artículo 9 del RGPD, se indica que se permite el tratamiento de datos biométricos cuando:

  • Tenemos el consentimiento explícito del interesado.
  • Son necesarias para el cumplimiento de las obligaciones establecidas o para llevar a cabo los derechos de protección de datos.
  • Son necesarias para proteger intereses vitales del interesado o de otra persona física, en el supuesto que esta no esté capacitada para dar su consentimiento.
  • Los datos son públicos y han sido publicadas por el interesado.
  • Tienen objetivos relacionados con la medicina preventiva o laboral, cuestiones sociales, de defensa jurídica o para evaluar las capacidades de la persona trabajadora.

Puedes consultar el reglamento aquí.

¿Puedo utilizar datos biométricos para el control horario de mi empresa?

Si en tu empresa realizas el control de horario mediante algún sistema biométrico (huella dactilar, facial, etc.), tienes que saber lo siguiente:

  • Este sistema se desaconseja para el registro de control laboral, puesto que existen otros métodos menos invasivos como por ejemplo aplicaciones, tarjetas, fichaje manual, etc.
  • Si finalmente optas para emplearlo, necesitarás solicitar una Evaluación de Impacto que permita determinar los riesgos que supone este método de recogida de datos y las medidas que se tienen que adoptar para minimizarlos.
  • La AEPD (Agencia Española de Protección de Datos) diferencia entre ‘identificación biométrica’ y ‘autenticación biométrica’. Y es que, en el segundo de los casos, no se considerará tratamiento de datos biométricos. Así:
    • La identificación es el proceso de reconocer a un individuo particular entre un grupo. Este proceso compara los datos del individuo a identificar con los datos de cada individuo en el grupo.
    • La autenticación, por otro lado, es el proceso de probar que es cierta la identidad reclamada por un individuo.

Te puede interesar: 14 equívocos cono relación a la identificación y autenticación biométrica

  • Por último, si usas un lector de huellas, asegúrate que sea de autenticación biométrica y que solo guarde una imagen algorítmica de la huella.

En caso de no cumplir el RGPD, las sanciones pueden costarte millones de euros y repercutir en la imagen de tu negocio.

Y no es ningún mito:

Recientemente, la AEPD ha sancionado una empresa con 20.000 € por utilizar un sistema de registro de datos biométricos sin haber realizado previamente una evaluación de impacto y detectado los riesgos que esto comporta.

También hay otros casos como, por ejemplo, la multa de 2,5 millones de euros a Mercadona por infringir el RGPD con su sistema de reconocimiento facial.

Si tienes dudas sobre tu sistema de registro horario o sobre el tratamiento de datos biométricos en tu empresa, contacta con nosotros.