Huella Dactilar y RGPD

Huella Dactilar y RGPD

Huella Dactilar y RGPD

La huella dactilar es un dato biométrico (como el iris del ojo) y es un dato de los calificados en el Reglamento Europeo como de “categoría especial”, es decir una protección más intensa (otros ejemplos son datos como la ideología política, la orientación sexual, o datos de salud).

Cuando una empresa u organización valora la instalación de un lector de huellas en el ámbito laboral (habitualmente como medida de control de acceso o para controlar los fichajes, la hora de incorporación y salida al puesto de trabajo) necesita legitimar el tratamiento en general de datos, y específicamente, el del dato “huella dactilar”, por ser de categoría especial.

Pero esto ya lo contábamos en el post anterior.

Lector de huella dactilar para entrar al gimnasio

En relación concretamente con la huella dactilar, se ha hecho muy popular la sanción impuesta por la AEPD a un gimnasio, que de la noche a la mañana impuso a sus clientes el control de acceso vía captura y lectura de la huella dactilar, sin justificar debidamente la medida. La resolución se puede consultar aquí.

En realidad, esto se veía venir, y creo que empeorará con la aplicación del reglamento. La  poca diligencia que se demuestra en muchos casos podrá traer consigo multas considerables.

“No sé -ni me importa- qué parte de la huella captura ese cacharro”

“No sé dónde se almacenan las huellas. Entiendo que la empresa instaladora hace las cosas bien”.

“¿Cómo van incumplir mis nuevos cacharritos, si los veo en todos sitios?”

Por mi parte me voy a centrar en la presencia de estos cacharros en el ámbito laboral, me parece más interesante. Pero casi todo lo que viene a continuación es aplicable fuera de dicho ámbito.

Consentimiento explícito

La empresa podría pedir el consentimiento “explícito” del trabajador (esta forma de consentimiento exige especiales formalidades, al autorizar datos de categoría especial). Pero como vengo insistiendo, el consentimiento del trabajador presenta problemas:

Problemas jurídicos: ese consentimiento siempre estará bajo sospecha: hay grandes posibilidades de que el trabajador se sienta presionado para prestarlo, por miedo a represalias, problemas o incluso el despido, si no lo presta.

Problemas operativos: Aun asumiendo que el consentimiento fuera válido, (y opino que lo deberíais evitar salvo necesidad imperiosa y que no haya otra manera) el consentimiento, por  definición, se puede revocar en cualquier momento.

Nada ni nadie puede impedir al trabajador revocar el consentimiento prestado en relación con este tema.

Si un grupo de trabajadores –conscientes, por ejemplo de este asunto- revocaran formalmente el consentimiento prestado en su día, tendrías que tener preparado otro sistema alternativo para controlar su “fichaje”, o renunciar a este control en relación con ellos.

Interés legítimo corporativo

Así que nos queda el interés legítimo de la empresa, allí donde sea posible.

Pero el interés legítimo exige un juicio de ponderación, un “sopesamiento” entre el interés de la empresa, en este caso, por ejemplo, en controlar el fichaje de los empleados, y los derechos de estos a que se respete su derecho a la protección de datos personales.

Uno de los pasos críticos para soportar la prevalencia del interés legítimo de la empresa es poder sostener que ese tratamiento (la captura en mayor o menor medida de la huella dactilar) es proporcional al fin perseguido (control de acceso o de fichajes).

Será necesario poder argumentar que el tratamiento es, (i) o bien el único modo de cumplir tu interés, o que (ii) el resto de las alternativas menos intrusivas –Ej: las tarjetas magnéticas o perforadas de toda la vida- no son, por alguna razón de peso, suficientes para cumplir dicho interés legítimo.

Al estar implicados datos de especial protección de los trabajadores, el resultado de esta ponderación debería ser especialmente claro y favorable al interés de la empresa.

En mi experiencia, estos sistemas son difíciles de justificar, salvo que concurran circunstancias poco comunes.

Es decir, salvo que seamos capaces de poner sobre la mesa razones de peso que acrediten que, o utilizamos el identificador dactilar, o no podremos cumplir nuestra finalidad de control, el resultado de la ponderación impedirá el tratamiento.

 

¿Si mi lector no guarda la huella entera, estos problemas desaparecen?

En la medida en que el Reglamento habla de datos que identifiquen a una persona, creo que guardando pocos o muchos puntos de la huella dactilar del trabajador, esos pocos o muchos puntos le tienen que identificar (si no, el sistema no funcionaría bien, no serviría para su función).

El Reglamento no exige que un sistema sea capaz de reconstruir la huella en su totalidad para considerar que trata datos biométricos.

En conclusión: el uso de este tipo de dispositivos, obligaría al responsable del tratamiento a (i) articular por escrito las razones que justifican que el tratamiento de un sistema tan “invasivo” en la privacidad de los trabajadores tenga que implantarse necesariamente (por qué no es suficiente el de tarjetas magnéticas de toda la vida).

Y en el caso de que se pudiera justificar, habría que (ii) dispensar máxima seguridad a las huellas almacenadas, para evitar incurrir en responsabilidad frente a los propios trabajadores si estos datos se vieran comprometidos.

En este sentido son interesantes tres documentos:

  • Un informe de la Agencia española (65/2015) sobre la licitud de un sistema de este tipo que tiene medidas de protección mediante la aplicación de sistemas de encriptación biométrica –sustancialmente, se graba la huella, se encripta y se apareja no a nombres y apellidos, sino a un identificador –en ese caso al nº de matrícula de un alumno-.

Este informe es un claro antecedente de la resolución sancionatoria sobre el gimnasio. En él se proponen medidas sofisticadas: conservación de la huella dactilar en una tarjeta que quede en poder del sujeto, sin grabarse en el sistema. A esto añadiría yo, que el dato debería estar encriptado en la tarjeta (si el usuario pierde la tarjeta con la huella sin encriptar, pone en responsabilidad también a la empresa, en cuyo interés se realizó el invento) y ser la tarjeta anónima.

Pero son propuestas: de lo que se trata aquí es de desarrollar soluciones innovadoras y mejores.

A nadie se le escapa que el uso de la huella dactilar es mucho más seguro que la mera tarjeta, pero desde el punto de vista de la comodidad, parece un chiste tener que seguir llevando encima la tarjeta cuando pasas a identificarte con el dedito.

Huella Dactilar y RGPD

El tercer documento es una foto del sufrido Alfonso Pacheco, grande de España donde los haya, tratando de hackear un sofisticado control biométrico en un CERT cercano. El hilo tuitero a que hace referencia, sobre este mismo tema.

Huella Dactilar y RGPD

Que pasen ustedes unas muuy buenas vacaciones!!

Jorge García Herrero

Abogado y Delegado de Protección de Datos

Foto portada: «selfie» glorioso capturado por @apacheco himself. Utilizado con autorización del retratado.