La LOPD y los datos biométricos

La regulación de los datos biométricos por parte de la LOPD y del RGPD

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

El vertiginoso avance de las tecnologías es más que evidente y, gracias a él, son muchas las ventajas y facilidades con las que contamos en la actualidad. Hoy en día es posible desbloquear cualquier teléfono o dispositivo con las huellas de nuestros dedos e incluso, en algunos casos, mostrando nuestra cara, mediante la identificación exhaustiva e inteligente del rostro. A esto es a lo que llamamos datos biométricos y en este post vamos a esclarecer si se podrían clasificar como datos de carácter personal, según el RGPD y la LOPD.

La nueva ley de protección de datos personales y los datos biométricos

Si trabajas con este tipo de datos, basados en características fisiológicas a través de las cuales se identifica el usuario, es importante que conozcas toda la información que recoge la nueva normativa de protección de datos al respecto. Para empezar, habría que hacerse dos preguntas básicas, cuyas respuestas harán que se comiencen a disolver notablemente tus dudas, en cuanto a esto:

¿Se puede considerar la huella digital un dato de carácter personal? ¿Los rasgos faciales pueden ser considerados como tales?

La respuesta, en ambos casos, es afirmativa. Partiendo de la base de que se entiende como dato personal todo aquel que contenga información numérica, acústica, gráfica, alfabética, fotográfica o de cualquier otro tipo mediante la cual una persona pueda identificarse y ser identificada; podemos decir que ambos lo son. Tanto la huella digital como los rasgos faciales son aspectos exclusivos de cada individuo y permiten que la persona sea identificable, por lo que, definitivamente, son datos de carácter personal. Por consiguiente, será preciso que se cumplan los aspectos y requisitos para su uso respecto a la nueva normativa.

La nueva ley de protección de datos se recoge en el Reglamento General de Protección de Datos europeo (RGPD) y se amplía con la Nueva Ley Orgánica de Protección de Datos (LOPD). Es, precisamente, de estas normativas de las que, a continuación, te hablaremos.

RGPD

​Este reglamento define los datos de carácter personal como aquellos relativos a las características fisiológicas, conductuales o físicas de cualquier persona obtenidos a través de un tratamiento técnico concreto para la identificación exclusiva del usuario en cuestión. En su artículo 9, estos datos son recogidos en la categoría de datos “Especialmente Protegidos”, por lo que es primordial que se cumplan los requisitos para su tratamiento.

Requisitos

En primer lugar, es necesario que el usuario dé un consentimiento explícito para el tratamiento de los datos biométricos. Es decir, antes de que una persona se identifique con su huella digital o sus rasgos faciales, habrá tenido que firmar un consentimiento para dar el permiso relativo a que estos datos personales sean usados para un fin específico.

Por otro lado, debes saber que es obligatoria la evaluación de impacto del sistema que vamos a usar o, lo que es lo mismo, un análisis de los riesgos que este pueda entrañar. Además, por último, es preciso que se haga un seguimiento o registro de las actividades de tratamiento, el cual debe contener al menos la siguiente información:

– Razón social y datos de contacto del responsable,  representante del responsable, delegado de protección de datos y corresponsable.

– Los objetivos de dicho tratamiento.

– La descripción detallada de los interesados y datos personales.

– Destinatarios por categorías a los cuales se le han comunicado o se le comunicarán los datos personales.

– Los plazos establecidos para la anulación de las distintas categorías de datos.

LOPD

La Nueva Ley Orgánica de Protección de Datos pretende ampliar la información recogida en el RGPD. Concretamente, en lo referente a la aplicación de medidas de seguridad en base al riesgo. Así pues, se recogen en esta nueva ley las siguientes medidas.

Medidas de seguridad

Es obligatorio, en primer lugar, que se cifren los datos que se encuentren en la base de datos, así como aquellos comunicados mediante redes. Además, se exige un control de acceso, es decir, un registro de todos los accesos que se hagan a la categoría concreta de datos y se deben recoger los siguientes factores:

– Se debe conocer la persona que accede a dichos datos.

– La fecha y hora exactas a la que se hizo el acceso.

– Los datos a los que se ha accedido.

Un método ideal para el control de acceso de tus empleados

En especial, el sistema mediante huella digital es el más generalizado en el caso de contar con una importante cantidad de empleados. Se garantizan, con este sistema, el cumplimiento de horarios y una seguridad óptima en zonas restringidas; pues, además, se trata de un sistema catalogado como uno de los más efectivos, en cuanto a seguridad, ya que se evita la falsificación de contraseñas y se guarda un absoluto registro de los accesos.

Sin embargo, no en todos los casos es conveniente la instalación o el uso de uno de estos sistemas. Será necesario que se haga una valoración previa para saber si, realmente, te conviene y son proporcionales el medio que pretendes usar y el fin del mismo. Por ponerte un ejemplo, sería totalmente desproporcionado instalar uno de estos sistemas para un solo empleado. En este caso, obviamente, no sería nada rentable.

Si, finalmente, estás decidido a llevar a cabo la instalación de alguno de estos sistemas, será necesario que si la instalación y gestión corre a manos de un tercero, se acredite el cumplimiento de la nueva normativa, en cuanto a los datos personales, además de demostrar que el tratamiento de estos datos cumple con los mínimos de seguridad.

 

Como has podido comprobar, los datos biométricos son, con total claridad, datos de carácter personal; y, como tales, deben cumplir con todos los requisitos y medidas de seguridad recogidos en la nueva normativa del Reglamento General de Protección de Datos Europeo. Son objetivos primordiales que esto se lleve a cabo de forma estricta y nos acojamos a la Ley de Protección de Datos, para brindar al usuario todos sus derechos a la hora de facilitar datos personales. Como, por ejemplo, en este caso, las huellas digitales y los rasgos faciales.

Artículos relacionados

Responsable de seguridad: funciones y necesidades de la empresa Una de las figuras de mayor importancia en la Ley de Protección de Datos (LOPD) es la del responsable de seguridad. Esta persona es una pieza clave en la preservación de los datos y en la correcta ejecución de la comunicación a los propietarios de lo...
Fintech y protección de datos Las empresas fintech, al ser innovadoras, se mueven en determinadas zonas grises, en cuanto a la regulación en materia de protección de datos. Este es el motivo por el que ha habido una cierta polémica, que se intenta atajar con la promulgación del R...
La protección de datos en las pymes mejorará con el RGPD La protección de los datos en las pymes es una de las asignaturas pendientes en el marco de la protección de datos general de la sociedad española.Sabemos que se trata de un tema complicado, por diversas razones. Entre ellas, el desconocimiento g...
La protección de datos en la responsabilidad por ciberataque La responsabilidad por ciberataque es una cuestión que reviste especial importancia, dado el creciente número de entornos de trabajo que utilizan las nuevas tecnologías. Quizá hayas oído que, recientemente, se han bloqueado servicios como Twitter o S...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *