El vertiginoso avance de las tecnologías es más que evidente y, gracias a él, son muchas las ventajas y facilidades con las que contamos en la actualidad. Hoy en día es posible desbloquear cualquier teléfono o dispositivo con las huellas de nuestros dedos e incluso, en algunos casos, mostrando nuestra cara, mediante la identificación exhaustiva e inteligente del rostro. A esto es a lo que llamamos datos biométricos y en este post vamos a esclarecer si se podrían clasificar como datos de carácter personal, según el RGPD y la LOPD.
La nueva ley de protección de datos personales y los datos biométricos
Si trabajas con este tipo de datos, basados en características fisiológicas a través de las cuales se identifica el usuario, es importante que conozcas toda la información que recoge la nueva normativa de protección de datos al respecto. Para empezar, habría que hacerse dos preguntas básicas, cuyas respuestas harán que se comiencen a disolver notablemente tus dudas, en cuanto a esto:
¿Se puede considerar la huella digital un dato de carácter personal? ¿Los rasgos faciales pueden ser considerados como tales?
La respuesta, en ambos casos, es afirmativa. Partiendo de la base de que se entiende como dato personal todo aquel que contenga información numérica, acústica, gráfica, alfabética, fotográfica o de cualquier otro tipo mediante la cual una persona pueda identificarse y ser identificada; podemos decir que ambos lo son. Tanto la huella digital como los rasgos faciales son aspectos exclusivos de cada individuo y permiten que la persona sea identificable, por lo que, definitivamente, son datos de carácter personal. Por consiguiente, será preciso que se cumplan los aspectos y requisitos para su uso respecto a la nueva normativa.
La nueva ley de protección de datos se recoge en el Reglamento General de Protección de Datos europeo (RGPD) y se amplía con la Nueva Ley Orgánica de Protección de Datos (LOPD). Es, precisamente, de estas normativas de las que, a continuación, te hablaremos.
RGPD
Este reglamento define los datos de carácter personal como aquellos relativos a las características fisiológicas, conductuales o físicas de cualquier persona obtenidos a través de un tratamiento técnico concreto para la identificación exclusiva del usuario en cuestión. En su artículo 9, estos datos son recogidos en la categoría de datos «Especialmente Protegidos», por lo que es primordial que se cumplan los requisitos para su tratamiento.
Requisitos
En primer lugar, es necesario que el usuario dé un consentimiento explícito para el tratamiento de los datos biométricos. Es decir, antes de que una persona se identifique con su huella digital o sus rasgos faciales, habrá tenido que firmar un consentimiento para dar el permiso relativo a que estos datos personales sean usados para un fin específico.
Por otro lado, debes saber que es obligatoria la evaluación de impacto del sistema que vamos a usar o, lo que es lo mismo, un análisis de los riesgos que este pueda entrañar. Además, por último, es preciso que se haga un seguimiento o registro de las actividades de tratamiento, el cual debe contener al menos la siguiente información:
– Razón social y datos de contacto del responsable, representante del responsable, delegado de protección de datos y corresponsable.
– Los objetivos de dicho tratamiento.
– La descripción detallada de los interesados y datos personales.
– Destinatarios por categorías a los cuales se le han comunicado o se le comunicarán los datos personales.
– Los plazos establecidos para la anulación de las distintas categorías de datos.
LOPD
La Nueva Ley Orgánica de Protección de Datos pretende ampliar la información recogida en el RGPD. Concretamente, en lo referente a la aplicación de medidas de seguridad en base al riesgo. Así pues, se recogen en esta nueva ley las siguientes medidas.
Medidas de seguridad
Es obligatorio, en primer lugar, que se cifren los datos que se encuentren en la base de datos, así como aquellos comunicados mediante redes. Además, se exige un control de acceso, es decir, un registro de todos los accesos que se hagan a la categoría concreta de datos y se deben recoger los siguientes factores:
– Se debe conocer la persona que accede a dichos datos.
– La fecha y hora exactas a la que se hizo el acceso.
– Los datos a los que se ha accedido.
Un método ideal para el control de acceso de tus empleados
En especial, el sistema mediante huella digital es el más generalizado en el caso de contar con una importante cantidad de empleados. Se garantizan, con este sistema, el cumplimiento de horarios y una seguridad óptima en zonas restringidas; pues, además, se trata de un sistema catalogado como uno de los más efectivos, en cuanto a seguridad, ya que se evita la falsificación de contraseñas y se guarda un absoluto registro de los accesos.
Sin embargo, no en todos los casos es conveniente la instalación o el uso de uno de estos sistemas. Será necesario que se haga una valoración previa para saber si, realmente, te conviene y son proporcionales el medio que pretendes usar y el fin del mismo. Por ponerte un ejemplo, sería totalmente desproporcionado instalar uno de estos sistemas para un solo empleado. En este caso, obviamente, no sería nada rentable.
Si, finalmente, estás decidido a llevar a cabo la instalación de alguno de estos sistemas, será necesario que si la instalación y gestión corre a manos de un tercero, se acredite el cumplimiento de la nueva normativa, en cuanto a los datos personales, además de demostrar que el tratamiento de estos datos cumple con los mínimos de seguridad.
Como has podido comprobar, los datos biométricos son, con total claridad, datos de carácter personal; y, como tales, deben cumplir con todos los requisitos y medidas de seguridad recogidos en la nueva normativa del Reglamento General de Protección de Datos Europeo. Son objetivos primordiales que esto se lleve a cabo de forma estricta y nos acojamos a la Ley de Protección de Datos, para brindar al usuario todos sus derechos a la hora de facilitar datos personales. Como, por ejemplo, en este caso, las huellas digitales y los rasgos faciales.
