¿Cómo tratar los datos biométricos para cumplir la RGPD?

El Reglamento General de Protección de Datos, comúnmente conocido como RGPD, entró en vigor en la Unión Europea en mayo de 2018. Aunque muchas organizaciones han llevado a cabo revisiones y auditorías de los datos que almacenan, cuando se trata de implementar un sistema biométrico, el cumplimiento de la RGPD requiere consideraciones adicionales. 

Ya sea para una instalación biométrica para el control de acceso, presencia o cualquier otra aplicación, es importante comprender cómo se crean, almacenan y en caso necesario, eliminan los datos relativos a los usuarios del sistema. 

¿Qué es la RGPD? 

La finalidad de la RGPD puede resumirse de la siguiente manera:  

  • Estandarizar las regulaciones relacionadas con la protección de datos en los estados miembros de la Unión Europea. 
  • Aumentar la privacidad y ampliar los derechos de datos de los residentes de la UE. 
  • Ayudar a los residentes de la UE a comprender el uso de los datos personales y abordar la exportación de datos personales fuera de la UE. 
  • Dar a las autoridades reguladoras mayores poderes para tomar medidas contra las organizaciones que violan las nuevas normas de protección de datos. 
  • Simplificar el entorno reglamentario de las empresas internacionales unificando las normas de protección de datos dentro de la Unión Europea. 
  • Para asegurar que todo nuevo proceso comercial que utilice datos personales se atenga a las normas de protección de datos de RGPD y a la norma de privacidad por diseño. 

En resumen, las organizaciones deben saber qué datos personales tienen sobre cualquier residente de la UE y cuál es el propósito de tener esos datos. En primer lugar, tienen que asegurarse de que los datos se crearon con el consentimiento del propietario y deben poder demostrar este consentimiento en cualquier momento. Dónde se almacenan los datos y cómo se protegen, así como el período de retención y el método de eliminación son también aspectos relevantes.

Almacenamiento de datos biométricos 

La RGPD regula esencialmente la forma en que las organizaciones gestionan dos tipos de datos: los datos personales y los datos sensibles. Los datos personales son cualquier información relativa a una persona identificada o identificable. Los datos sensibles son una «categoría especial» de datos, capaces de identificar a un individuo. Es comprensible que los datos biométricos se clasifiquen como «datos sensibles» y, por lo tanto, como una «categoría especial»

Tratamiento de datos de categoría especial 

El artículo 9 de la Ley de Protección de Datos establece que está prohibida la recopilación de datos personales, como los datos biométricos. El mismo artículo enumera las condiciones en las que las organizaciones pueden seguir recogiendo estos datos sensibles. Deben cumplir al menos uno de los siguientes criterios: 

a) El interesado da su consentimiento explícito 

b) El empleo, la seguridad social y la protección social (si la ley lo autoriza) 

c) Actuar en el interés vital del propietario de los datos 

d) Organismos sin fines de lucro que mantienen los datos a nivel interno 

e) Los datos fueron hechos públicos por el interesado 

f) Reclamaciones legales o actos judiciales 

g) Razones de interés público sustancial (con fundamento en la ley) 

h) Atención sanitaria o social (con fundamento en la ley) 

i) Salud pública (con fundamento en la ley) 

(j) Archivo, investigación y estadísticas (con base en la ley) 

Comprensión de la biometría 

El consentimiento explícito de los usuarios es el elemento más importante de la aplicación de un sistema biométrico y suele ser un tema de debate. Es importante saber que el interesado (o el empleado) debe dar su consentimiento explícito, que el consentimiento es continuo y que puede ser retirado en cualquier momento. Los empleadores deben explicar las razones del tratamiento de los datos biométricos, comúnmente conocidas como «El propósito». Los empleados deben recibir educación sobre la forma en que se almacenan los datos biométricos, y debe haber un medio alternativo aceptable de identificación si una persona se niega o retira su consentimiento. 

Es importante comprender cómo se crean, almacenan y procesan los datos biométricos. Esto ayudará a las organizaciones a ganarse la confianza de los empleados que utilizan un sistema biométrico. Un error común es creer que las imágenes de las huellas dactilares, rostros o iris, se almacenan en el sistema biométrico. Dentro del sistema TBS, las imágenes nunca se almacenan. Se toman imágenes y se recogen rasgos identificables (conocidos como puntos de datos) de la imagen. Se utiliza un sofisticado algoritmo para convertir los puntos de datos en una plantilla biométrica en forma de código digital. Como medida de seguridad adicional, la plantilla biométrica se vuelve a encriptar antes de ser almacenada o enviada al servidor de datos biométricos. El resultado es un sistema que proporciona el más alto nivel de protección a los datos biométricos, asegurando así el cumplimiento de la normativa de la RGPD. 

Implementación de una solución biométrica 

Al procesar cualquier dato personal, hay varias acciones que deben ser consideradas para asegurar que su organización cumpla con las normas:  

  •     Evaluación del impacto de los datos – Este es un proceso que le ayudará a identificar y minimizar los riesgos de protección de datos de un proyecto. 
  •     Evaluación de intereses legítimos – Se trata de una evaluación de riesgos de alto nivel sobre el contexto y las circunstancias específicas del procesamiento de datos, y le ayudará a asegurarse de que su procesamiento es legal. 
  •     Declaración de privacidad – Se trata de un documento interno, a veces denominado notificación de protección de datos, que usted debe presentar para documentar la finalidad del procesamiento de los datos biométricos; el método de recogida y almacenamiento de los datos biométricos; el ámbito de aplicación de los datos biométricos que se utilizarán o compartirán; los métodos de seguridad utilizados para proteger los datos biométricos; la duración de la conservación de los datos; y el proceso de eliminación. 

De las cláusulas enumeradas en el artículo 9 de la RGPD, las dos condiciones principales en las que se suele basar son el «consentimiento explícito» y el «interés vital». El control de acceso y presencia siguen marcando el camino para las aplicaciones biométricas. El control de acceso, en la mayoría de las situaciones, se presta tanto al consentimiento explícito como a los intereses vitales. 

Al implementar la biometría para el control de acceso, las organizaciones reducen el riesgo de que personas no autorizadas puedan acceder a las áreas de un edificio o instalación. Si se utiliza para procesar a los empleados, visitantes o contratistas dentro y fuera del sitio, el control de acceso biométrico puede integrarse con soluciones de emergencia y proteger a las personas registradas en el sistema.   

Es menos probable que se aplique el “interés vital” a la presencia, aunque, al igual que con el control de acceso, cuando se registra la entrada y salida de las personas, también se está diciendo efectivamente que están dentro o fuera del lugar, y por lo tanto esta información también podría utilizarse para pasar lista en caso de emergencia. En cualquier caso, se suele confiar en el consentimiento explícito, y el consentimiento se da más libremente cuando el usuario sabe no sólo por qué, sino también cómo se está utilizando su biometría y cómo se está protegiendo. Si un usuario, por cualquier razón, no da su consentimiento, hay otros métodos de identificación que pueden seguir utilizándose en todos los terminales biométricos de TBS. Los terminales están equipados con una pantalla táctil que permite a los usuarios identificarse con un PIN único, y el teclado del PIN puede incluso codificarse cada vez para aumentar la seguridad. Las terminales también vienen con lectores RFID opcionales para leer tarjetas o llaveros. El sistema puede configurarse fácilmente para que se requiera tanto el PIN como la RFID para la identificación. 

La hora de la biometría

Cuando se implementa de forma efectiva, la biometría puede ayudar a cualquier organización de cualquier tamaño a mejorar la seguridad, reducir el riesgo y aumentar la eficiencia. Cuando se tienen procesos dependientes de la identidad dentro de la organización, la biometría puede añadir una capa de seguridad que puede mejorar la protección de los datos, ya que el método de identificación no puede ser falsificado o compartido entre las personas. TBS ha desplegado miles de sistemas en todo el mundo, algunos de los cuales están instalados en algunas de las organizaciones más seguras y sensibles a los datos, y nuestra experiencia puede ayudarle a sacar el máximo provecho de un sistema biométrico y asegurar que sus obligaciones legales se cumplan. 

Este articulo es una traducción de: Biometrics and GDPR publicado originalmente por TBS.