Las huellas digitales son datos biométricos que permiten la identificación de las personas físicas, e incluso conocer ciertos aspectos de su personalidad y conducta.
¿Qué es un sensor de huella dactilar?
Un Sensor de huellas digitales (también conocido como Sensor de huella dactilar, Lector de huella dactilar o Sensor biométrico) es un dispositivo que es capaz de leer, guardar e identificar las huellas dactilares (Generalmente del dedo pulgar, aunque la mayoría no tienen problemas en aceptar los demás dedos).
Estos dispositivos se han hecho populares a raíz de que los últimos teléfonos inteligentes y tabletas han incorporado dicho sistema pues, en teoría, son los que mayor seguridad aportan.
¿Para qué sirven?
En la actualidad, las contraseñas proporcionan algo de protección, pero recordar y saber dónde están guardados los diferentes códigos de cada máquina es un problema en sí mismo.
Con las tarjetas inteligentes, sucede algo similar: si perdemos nuestra tarjeta no podremos hacer uso de las facilidades que brinda.
Parecería lógico utilizar algún identificador que no se pudiese perder, cambiar o falsificar.
Las técnicas de la biometría se aprovechan del hecho de que las características del cuerpo humano son únicas y fijas.
Son muchas las entidades que han implantado esta medida de control creyendo que están absolutamente legitimadas para ello, sin conocer las consecuencias jurídicas de su implantación.
Peligros en el uso de la huella dactilar
«Si no se toman las medidas adecuadas, el uso de la huella dactilar para identificar a un individuo, puede no ser lícito, posiblemente no va a poder ser utilizarlo como medio de prueba en caso de despido y, además, le pueden sancionar por ello».
No hay sistema infranqueable para el ciberdelincuente. Tampoco los biométricos, que se perfilan como las grandes estrellas de la seguridad.
El problema del «robo» de la huella dactilar es que puede emplearse no solo para desbloquear el móvil, sino para acceder a cualquier otro dispositivo y suplantar al dueño del móvil para acceder a su cuenta bancaria o aplicaciones como Dropbox (que ya aceptan esta fórmula) y para hacer compras a cargo de la víctima.
Incluso podría emplearse para falsificar documentos.
Lo bueno de la huella digital
Es irreemplazable y muy difícil de falsificar.
En este sentido, es un sistema de protección más seguro que el de los códigos alfanuméricos, al que puedes acceder con distintos intentos de combinaciones de números y letras.
Lo malo de la huella digital
Es que una vez que alguien accede a tu huella digital, la tiene para siempre, porque tú no puedes reemplazarla como haces cuando te han robado una contraseña
Normativa y jurisprudencia actual sobre la huella dactilar.
El RGPD
El nuevo RGPD eleva los datos biométricos a la categoría especial de datos personales y, de entrada, establece la prohibición del tratamiento de este tipo de datos personales.
No obstante, contempla la posibilidad de tratar datos biométricos en el ámbito laboral, siempre y cuando se cumplan los principios y limitaciones establecidos en el mismo.
Establece que no estará prohibido su tratamiento, entre otros supuestos, cuando:
“es necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas respecto de los derechos fundamentales y de los intereses del interesado” (art. 9.2 b) del RGPD).
Consentimiento
En cuanto al consentimiento, el RGPD no obliga a obtener el consentimiento del trabajador si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por la empresa, siempre que sobre sus intereses no prevalezcan los intereses o los derechos y libertades de los trabajadores que requieran la protección de datos personales.
Proporcionalidad
A la hora de decidir si es necesario adoptar una medida concreta de control que comporte un tratamiento de datos personales de los trabajadores, como puede ser el control de acceso por huella digital, debe aplicarse el principio de “proporcionalidad” en relación a la finalidad buscada (que es el control del cumplimiento de las obligaciones y deberes del trabajador).
El principal motivo es que el empresario no está amparado para ejercer las facultades de vigilancia y control que desee, pues sus facultades empresariales también están limitadas por el respeto a los derechos fundamentales del trabajador, y muy especialmente el derecho constitucional a su intimidad personal.
Jurisprudencia en relación a la huella dactilar
En el tratamiento de la huella digital de los trabajadores, cuando la información que se recaba no contiene datos concretos de la personalidad del trabajador o de su comportamiento, sino que solamente vincula la identidad de una persona para identificarla, es lícito establecer un sistema de control de acceso con huella digital puesto que el dato que se recaba no tiene mayor trascendencia que un número o ficha personal.
Para saber si es proporcional dicha medida de control, la jurisprudencia entiende que es necesario que cumpla tres requisitos: que sea idónea, necesaria, proporcional o equilibrada.
Es decir, antes de instalar un control de acceso con huella dactilar, la empresa debe preguntarse si es proporcional a la finalidad buscada o si existen otros medios menos intrusivos para los derechos y libertades de sus trabajadores, que sean adecuados y pertinentes para la finalidad perseguida.
Medidas menos intrusivas
Pueden existir otras medidas menos intrusivas que la huella dactilar como, por ejemplo, un registro de firmas de los trabajadores a la entrada y salida de la organización, o la utilización de tarjetas electrónicas que registren la entrada y salida de los mismos.
También inciden en que, aunque no sea necesario el consentimiento de los trabajadores para el tratamiento, éstos deben estar debidamente informados, especialmente de la finalidad de los datos biométricos recabados, y de las consecuencias disciplinarias que implica su negativa a que la huella sea tratada.
¿Qué establece la AEPD sobre la huella dactilar?
La Agencia Española de Protección de Datos establece dos cuestiones fundamentales sobre la implantación de la huella dactilar.
Por un lado, si con la utilización de la huella se cumple el principio de calidad de datos y, por otro lado, si es necesario el consentimiento de los titulares de los datos cuando se trate de un servicio de uso privado, abierto a los consumidores.
Fundamenta que los datos sólo pueden utilizarse si son adecuados, pertinentes y no excesivos, implicando una evaluación estricta de la necesidad y de la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva.
Finalidad y proporcionalidad
Si la finalidad perseguida en un determinado contexto puede ser lograda sin necesidad de llevar a cabo el tratamiento de un determinado dato, debería optar necesariamente por esta posibilidad.
Asimismo, las autoridades de control han señalado que, de ser posible, deben instalarse preferentemente sistemas de reconocimiento de huella dactilar que permitan que los medios de verificación (algoritmo de la huella dactilar del trabajador) permanezcan en poder de los afectados, sin ser incorporados al sistema informático de la empresa, por tratarse de medios más proporcionales.
Mayores obligaciones
Finalmente, conviene tener en cuenta que el hecho de tratar datos especiales conlleva más obligaciones para el empresario en relación a las medidas técnicas y organizativas necesarias a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (tales como la conversión de la huella a su algoritmo o el cifrado de la información), así como la obligación, en su caso, de realizar una evaluación del impacto de las operaciones de tratamiento de datos biométricos, en la protección de datos personales.
Un ejemplo lícito
Pinchando en el enlace podemos ver un informe de la Agencia española (65/2015) sobre la licitud de un sistema de este tipo, que tiene medidas de protección mediante la aplicación de sistemas de encriptación biométrica –sustancialmente, se graba la huella, se encripta y se apareja no a nombres y apellidos, sino a un identificador –en ese caso al nº de matrícula de un alumno-.
Un ejemplo ilícito
La AEPD sanciona a un gimnasio por el uso de la huella dactilar. Podéis ver la Resolución sancionatoria pinchando en este enlace.
El tratamiento del sistema de huellas para acceder a un establecimiento exige una especial atención a la proporcionalidad, no solo por el carácter excesivo en la recogida sino en la modalidad técnica para tratarlo reiteradas veces, es decir que el dato que figure en sus sistemas sea objeto de tratamiento en tanto resulte completamente imprescindible para el cumplimiento de la finalidad perseguida, la de autenticar la entrada al gimnasio».
La solución que ofrecen en dicha resolución de la AEPD es que «el propio dato biométrico o el algoritmo, permaneciese bajo el control del usuario y no fuera incorporado al sistema o base de datos».
Esto «garantizaría la identificación basada en un doble aspecto: algo que el socio es, su huella que ha de implantar, y algo que tiene, la tarjeta que autentica su huella que lleva el algoritmo».
A nadie se le escapa que el uso de la huella dactilar es mucho más seguro que la mera tarjeta, pero desde el punto de vista de la comodidad, parece un chiste tener que seguir llevando encima la tarjeta cuando pasas a identificarte con el dedo.
Conclusiones
Se debe incidir en los siguientes aspectos que han de tener en cuenta gestores y directores a la hora de planificar el control de accesos, o cualquier recogida de datos:
- Es necesario conocer qué datos son considerados como de carácter personal.
- El interés legítimo de la empresa para recoger ese dato debe ser proporcional al fin perseguido.
- El usuario debe conocer los fines de la recogida, cómo se tratará el dato y quién lo hará.
- El consentimiento por parte del usuario debe ser explícito.
- La empresa que proporcione software y hardware, para almacenar datos de los usuarios, debe informar a la empresa de todos los procesos de tratamiento, para valorar su pertinencia, así como para poder incorporar lo que corresponda en los consentimientos explícitos.