El RGPD o Reglamento General de Protección de Datos europeo tiene como principal objetivo la protección de los datos personales en todos los países miembros de la Unión Europea, siendo una normativa de obligado cumplimiento en todos ellos. Los datos biométricos para el RGPD son de gran relevancia, pues permiten identificar a las personas de forma precisa a través de información sensible.
Por ejemplo, a la hora de instalar un control de accesos en seguridad en una empresa o industria, es importante considerar qué datos biométricos se van a gestionar, para garantizar que cumplen con los requisitos marcados por este reglamento europeo sobre protección de datos, y así evitar posibles sanciones o multas.
Que entiende el RGPD por datos biométricos
La definición de datos biométricos, según el RGPD, abarca cualquier información personal que se relacione con las características físicas, fisiológicas o conductuales de una persona, que permitan o aseguren su identificación única. Esta identificación se logra a través de elementos como las huellas dactilares, el patrón de iris, el reconocimiento facial, e incluso aspectos de comportamiento como la dinámica de tecleo y la forma de caminar.
El RGPD coloca a los datos biométricos dentro de las categorías especiales de datos personales bajo el artículo 9, lo cual implica restricciones significativas en su tratamiento (se prohíbe el procesamiento de estos datos salvo en circunstancias excepcionales, ya que revelan información personal y diferenciadora que permiten identificar a las personas de forma inequívoca).
Cuáles son los datos biométricos
Los datos biométricos comprenden una amplia gama de características únicas y medibles de los individuos que permiten su identificación precisa. Entre los más comunes se encuentran la huella dactilar, el reconocimiento facial y del iris, que son ampliamente utilizados en sistemas de seguridad y control de acceso.
Otros métodos incluyen el reconocimiento de la geometría de la mano y de la retina, así como el reconocimiento vascular, que se basa en los patrones únicos de los vasos sanguíneos.
Además de los métodos basados en características físicas, existen otros tipos de datos biométricos que utilizan aspectos conductuales para la identificación.
- Reconocimiento de la firma y de la escritura, que analizan los patrones únicos en la manera de escribir de una persona.
- Reconocimiento de voz, que utiliza las características vocales únicas.
- Reconocimiento de la dinámica del tecleo y la forma de andar, que identifican a los individuos por su comportamiento al realizar estas actividades.
- Aspectos más detallados como el ADN, la textura de la piel y la forma de las orejas pueden ser catalogados como datos biométricos debido a su capacidad para distinguir de manera única a las personas.
Qué es la identificación y autentificación biométrica
Tanto el reglamento europeo como la normativa española en protección de datos consideran el tratamiento de datos biométricos como de alto riesgo, en relación con los procesos de identificación y verificación.
- Identificación biométrica. Implica el reconocimiento de un individuo dentro de un conjunto, comparando la información de la persona que se desea reconocer con la de todos los miembros del grupo (comparación uno-a-muchos).
- Autenticación o verificación biométrica. Se centra en confirmar la identidad de un sujeto, realizando una comparación directa entre los datos biométricos del individuo y los datos previamente almacenados y vinculados a esa identidad específica (comparación uno-a-uno).
Cómo se tratan los datos biométricos
A la hora de implantar un sistema biométrico de control de acceso o identificación de personas, es necesario realizar una evaluación de impacto previa para verificar si existe otro sistema menos intrusivo.
Los datos biométricos según el RGPD deben tratarse como de alto riesgo, como ya comentamos anteriormente, teniendo en cuenta una serie de aspectos cruciales.
Requisitos para el tratamiento
El tratamiento de datos biométricos debe ser identificado como idóneo y necesario, implementando de forma proporcional (se aplica de forma específica para resolver una necesidad).
Para poder tratar los datos con sistemas biométricos hay tomar medidas como:
- Comunicar a las personas acerca de los procesos biométricos y los riesgos significativos que estos implican.
- Implementar técnicas y tecnologías de cifrado con el objetivo de proteger las plantillas biométricas utilizadas.
- Incluir mecanismos que permitan desvincular la identidad de la persona de su plantilla biométrica. Estas plantillas solo podrán ser utilizadas para los fines estipulados originalmente.
- Prevenir la conexión entre distintas bases de datos biométricas y la divulgación de la información contenida en ellas.
- Aplicar la política de minimización en la recopilación de datos biométricos. En entornos laborales (registro de presencia o control de acceso), las garantías respecto a estos tratamientos deben estar claramente especificadas en los convenios colectivos.
- Deben ser eliminados cuando ya no sean necesarios para los propósitos para los cuales fueron recolectados.
Sanciones
El incumplimiento del RGPD, en relación con el tratamiento de datos biométricos, puede acarrear sanciones valiosas, dado que estos datos son considerados de carácter especial y, por lo tanto, gozan de una protección adicional.
Las sanciones varían según la gravedad y la naturaleza del incumplimiento, pudiendo ascender hasta 20 millones de euros o hasta el 4 % del volumen de negocio global anual del ejercicio financiero anterior (el importe que resulte más elevado).
Los datos biométricos para el RGPD deben ser tratados de forma concreta para garantizar la máxima protección de esta información especial o sensible. Confiar en profesionales de la seguridad es la mejor alternativa para poder garantizar el cumplimiento de esta normativa en una empresa o industria.
En Microsegur somos expertos en instalaciones avanzadas de seguridad y contamos con una amplia experiencia ayudando a empresas e industrias a elevar su nivel de protección. No lo dudes y contáctanos para recibir una atención personalizada a las necesidades y características particulares de tu negocio.