Enlaces de interés

 

Asociarme

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

La utilización de sistemas biométricos para el control de acceso y control horario del personal

Home / Hemeroteca / La utilización de sistemas biométricos para el control de acceso y control horario del personal
por ASECOPS GESTION 10 de febrero de 2021 Hemeroteca 0 comentarios

La utilización de sistemas biométricos para el control de acceso y control horario del personal

Fuente: Cuadernos de Seguridad.-

Después de 5 años de la aprobación del Reglamento General de Protección de Datos de la UE (RGPD), se va dando forma a las condiciones que permiten el tratamiento de carácter personal a través de sistemas biométricos. No todo tratamiento de los datos biométricos se consideran como categorías especiales de datos.

Estos sistemas biométricos, solo constituirían una categoría especial de datos, en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.

En la Resolución E-07273-2020 de archivo de actuaciones la AEPD pone de manifiesto que, al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos, puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, de forma que:

La identificación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

La verificación/autenticación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

Así pues, el tratamiento de fotografías no se considera categorías especiales de datos. Aunque en el caso del reconocimiento facial, está recogido en el libro blanco de Inteligencia Artificial de la Comisión Europea. Por todo ello, el tratamiento de datos biométricos requiere de bases jurídicas ya establecidas en el art. 6 del RGPD, con algunas de las excepciones previstas en el artículo 9.2 del RGPD.

 No obstante, aunque según la AEPD es innegable la posibilidad de utilización de sistemas basados en datos biométricos para llevar a cabo el control de acceso y horario, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo y teniendo en cuenta sus implicaciones, es preceptivo llevar a cabo el cumplimiento de las siguientes obligaciones por parte de la entidad responsable:

  • Establecer el Registro de Actividades de Tratamiento.
  • Llevar a cabo una Evaluación de Impacto relativa a la protección de datos de carácter personal para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos de conformidad con lo señalado en el artículo 35 RGPD.
  • Informar al empleado sobre estos tratamientos en los términos del artículo 13 del RGPD.
  • Deben respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.
  • Verificar que el tratamiento es adecuado, pertinente y no excesivo en relación con la finalidad de control de acceso y control horario. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos (Dictamen 3/2012 del Grupo de Trabajo del art. 29).
  • Los datos biométricos deben ser almacenados como plantillas biométricas siempre que sea posible. La plantilla debe extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.
  • El sistema biométrico utilizado y las medidas de seguridad elegidas deben asegurar que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.
  • Deben utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.
  • Los sistemas biométricos deben diseñarse de modo que se pueda revocar el vínculo de identidad.
  • Debe optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • Finalmente, los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.

Con todas estas garantías, podrá acreditarse que la actuación del responsable en relación con el tratamiento de datos biométricos para control de acceso y horario de su personal, es acorde con la normativa sobre protección de datos personales.

Redacción ASECOPS: María Cruz Míguez López

España avanza sobre la protección de las infraestructuras críticas.Noticia anterior
Posicionamiento ante el proyecto de ley para la reducción del efectivo en 2021Siguiente noticia