19 May 2019

Biometría en control de acceso

por | publicado en: Biometria, RGPD | 0

Tiempo de lectura : 18 minutos

Las técnicas biométricas son un medio cada vez más utilizado en control de acceso y de horario, tanto en empresas como en equipamientos restringidos a socios. Aportan seguridad en la identificación y autenticación de personas.

El RGPD prohíbe esos tratamientos, salvo condiciones reguladas en el mismo RGPD y posibles disposiciones de los Estados Miembros.

El artículo recorre diversos aspectos normativos y concluye que, salvo riesgo de suplantación, la biometría para control de accesos y horarios no tiene hoy un encaje robusto en la legislación actual española.

El RGPD clasifica la biometría como dato de categoría especial cuyo tratamiento, con carácter general, está prohibido. Para levantar esa prohibición se necesita alguno de los mecanismos del artículo 9.2. A continuación, los tratamientos de esos datos deben asentarse en una de las seis bases legitimadoras del artículo 6.

Es decir, para iniciar un tratamiento de datos biométricos deben superarse dos situaciones: levantar la prohibición y legitimar el tratamiento.

Situación actual

La biometría está en pleno auge (la revolución biométrica). Uno de sus usos más habituales es el control de accesos y horarios, tanto para empleados en su empresa como para socios en equipamientos de todo tipo. La tecnología actual ofrece seguridad en el almacenamiento y proceso de la característica biométrica; además, es intrínseca a la biometría la comodidad de que la persona que accede no debe portar ningún objeto consigo (token) ni recordar ninguna contraseña. Se trata de una consecuencia inmediata: soy empleado/socio, entro porque soy yo.

Escogiendo la técnica y proveedor adecuados, no hay riesgo teórico de reversión ni de reutilización inter-sistemas.

El RGPD prevé que los Estados Miembros desarrollen en su ordenamiento interno legislación relativa a datos de categoría especial. La LOPD 3/2018 no hace referencia alguna a la biometría, si bien se ocupa de otras tecnologías como la video-vigilancia y la geolocalización.

Criterios jurídicos habituales

El ahora Comité Europeo en su Opinión 3/2012 (WP193) sobre desarrollo de técnicas biométricas, considera desproporcionado el uso de huella digital para acceder a un gimnasio. A principios de 2018, cuando la biometría no era un dato de categoría especial, la Agencia Española de Protección de Datos (AEPD) impuso multas a dos de ellos invocando la falta de proporcionalidad, superando así las líneas de defensa planteadas por los denunciados.

En la misma línea, el Consejo de Ministros del Consejo de Europa en su recomendación CM/Rec(2015), Principio 18, para el entorno laboral, indica:

18.1. La recopilación y el posterior proceso de los datos biométricos sólo se deberían emprender cuando deban protegerse los intereses legítimos de empresarios, empleados o terceros, sólo si no hay otros medios menos intrusivos disponibles y sólo si se acompaña de las garantías adecuadas previstas en el principio 21.

18.2. El tratamiento de los datos biométricos se ha de basar en métodos científicamente reconocidos y ha de estar sujeto a los requisitos de estricta seguridad y proporcionalidad

La Autoridad Catalana de Protección de Datos (APDCAT), en un dictamen de febrero de 2019 concluye que “la inclusión de datos biométricos como datos de categoría especial en el RGPD no permite concluir de forma automática que la implantación de un sistema de control basado en la recogida de este tipo de datos pueda considerarse proporcionado y, por tanto, conforme al principio de minimización”.

El factor técnico

El componente técnico también está presente en las manifestaciones de las autoridades competentes en la materia.

El Comité Europeo en su opinión WP217 sobre interés legítimo expone: El uso de tecnologías y enfoques de protección de la intimidad puede inclinar la balanza a favor del responsable del tratamiento y también proteger a las personas. Es decir, la técnica puede ser concluyente.

La Asociación Europa de Biometría publicó, en su congreso anual de 2018, que la adecuada elección de tecnologías y diseño de la privacidad por defecto pueden contribuir sustancialmente al desarrollo y adopción de técnicas biométricas. La misma asociación plantea la privacidad como uno de los cuatro retos actuales de la biometría.

Mecanismos para levantar la prohibición

El RGPD 9.2 recoge diez mecanismos para levantar la prohibición. Dos de ellos son aplicables al caso aquí expuesto:

a) El consentimiento explícito del interesado …

b) El tratamiento es necesario para el cumplimiento de obligaciones …. en el ámbito del Derecho laboral …., ….. o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas….

El consentimiento explícito

El RGPD llama consentimiento explícito a una declaración afirmativa aceptada por el titular de forma indiscutible y demostrable (firma manual, electrónica, digital).

Así, los socios deberían firmar su consentimiento para acceder a las instalaciones mediante un dato biométrico. La declaración firmada debe contener información completa, clara y sencilla sobre los usos que se darán a sus datos.

En el entorno laboral, sin embargo, el consentimiento adolece de imperfecta libertad del interesado, por el desequilibrio empleador-empleado.

Además, al ser una manifestación libre de la voluntad de la persona, el consentimiento es revocable en cualquier momento, sin más condiciones (será tan fácil retirar el consentimiento como darlo RGPD 7.3). Es plausible que, un buen día, a consecuencia de cualquier hipotética noticia o alarma, todos los empleados/socios revoquen el consentimiento.

La obligación legal

El cuanto al punto b) …necesario para el cumplimiento de obligaciones legales, …. en la medida que lo autorice una norma de rango legal. Y la tal norma no existe. El Estatuto de los Trabajadores, 20.3, da un marco de actuación, lo cual no parece suficiente como para suponer que un dato de categoría especial, prohibido, tenga cabida en ese precepto general del Estatuto. Aplicando el aforismo: Donde la norma no distingue, no distinga el intérprete.

El punto b) menciona también un convenio colectivo. Y ahí pudiera encontrar el tratamiento biométrico acomodo legal, no sin obstáculos. El RGPD (derecho comunitario) permite que un convenio colectivo levante la prohibición de un tratamiento de datos de categoría especial, aunque sin perjuicio del ordenamiento constitucional de cada Estado Miembro; pero la Constitución Española prescribe reserva de ley para regular derechos fundamentales.[1]

El convenio colectivo (y la negociación que conlleva) es la medida más garantista y potencialmente más cercana al ordenamiento actual para el tratamiento biométrico en entorno laboral.

Por otra parte, la LOPD (55 y 57.2) habilita a las autoridades de control para que dicten circulares, de contenido interpretativo, publicadas en el BOE y de obligado cumplimiento. La AEPD ha hecho uso de esa potestad para emitir disposiciones restrictivas a los tratamientos que los partidos políticos puedan efectuar durante el periodo electoral.

Una circular permitiría despejar incógnitas en esta materia.

Mecanismos para legitimar el tratamiento

Una vez levantada la prohibición de tratar datos de categoría especial (RGPD 9.2) hay que obtener la legitimación (RGPD 6.1). Algunas de las condiciones de ambos artículos son equivalentes. Por ejemplo, el consentimiento (explícito en el 9.2 y “sin adjetivo” en el 6.1, a menudo calificado como inequívoco) o la obligación legal.

Empleados

Así, si se usa el convenio para des-prohibir, parece adecuado usarlo también para legitimar. El RGPD 9.2 obliga a que ese convenio colectivo establezca garantías adecuadas. Se trata de preservar, incluso en un escenario de negociación colectiva, los derechos y libertades de los individuos. En el rechazo al tratamiento de datos biométricos caben desde los motivos religiosos hasta el reparo personal. Un derecho vale lo que valen sus garantías. Y la garantía más potente es la exclusión voluntaria del interesado. Observemos que esas garantías no serían exigibles en caso de que la habilitación de la biometría proviniera de una ley y no de un convenio colectivo.

Si no hay convenio, la obligación legal fundada en el control laboral del Estatuto de los Trabajadores es insuficiente para generar seguridad jurídica.

Socios

El consentimiento explícito es la base legitimadora de elección en el caso del socio.

El consentimiento no debe estar condicionado, lo cual se dará en un equipamiento si el interesado tiene libertad para ser socio o no, sin ver menoscabados sus derechos de disposición sobre sus datos personales. No es admisible la denegación del servicio por negativa de usar datos biométricos, en particular cuando el interesado no puede buscar otro servicio similar sin detrimento a su primera elección. El equipamiento debe ofrecer alternativas de acceso quien no desee dar el consentimiento al tratamiento biométrico.

Interés legítimo

La opción de invocar interés legítimo, tanto para socios como para empleados, obliga a asegurar que no prevalezcan los intereses y derechos del interesado frente a los del empresario respecto de ese tratamiento, lo cual se aborda mediante un juicio de ponderación. La biometría no suele superar esos juicios, que valoran necesidad y proporcionalidad.

Instalaciones singulares

La biometría usada en control de acceso puede ser sustantivamente necesaria cuando hay riesgo de suplantación. Recintos protegidos, instalaciones remotas de difícil control o con elevada rotación de personal (sector agrícola). La biometría ayuda a combatir esas situaciones, dado su alto grado de fiabilidad, aunque no es infalible. Por ello, un medio menos intrusivo no consigue el efecto requerido (principio de idoneidad), y la biometría deviene necesaria.

La evaluación de impacto (EIPD)

La conclusión del dictamen de la autoridad catalana, mencionado anteriormente, expone:

Es preciso realizar una evaluación del impacto sobre la protección de datos, considerando las circunstancias concretas del caso, para determinar la legitimidad y la proporcionalidad, incluyendo la existencia de alternativas menos intrusivas. Deben también establecerse las garantías adecuadas.

Las evaluaciones de impacto (EIPD) son obligatorias cuando el tratamiento es de alto riesgo y recomendables cuando se aplican tecnologías informáticas con carácter innovador o cuando se tienen dudas sobre el alcance del texto legal invocado. Su objetivo principal es reducir el riesgo, lo cual conlleva un análisis minucioso y poliédrico del tratamiento, sus riesgos (genéricos del tratamiento, particulares de una operación, definidos o indefinidos), intervinientes, análisis de necesidad y proporcionalidad, salvaguardas, garantías. En casos en casos de tratamientos sustitutivos se incluirá un análisis de contraste entre el anterior y el propuesto, deficiencias que se van a subsanar y expectativas de mejora, preferiblemente en términos cuantitativos.

La EIPD es, pues, un instrumento más amplio que el juicio de ponderación y permite más juego: argumentos técnicos (aquí decisivos) y de lógica empresarial, con el objetivo de que necesidad y proporcionalidad queden convenientemente amortiguadas. Son expresión genuina de proactividad y voluntad de cumplimiento normativo (compliance).

Lista de EIPD obligatoria de las Autoridades de Control

El RGPD prevé que las Autoridades de Control establezcan listas de los tipos de operaciones tratamientos que requieren una EIPD. La Agencia Española de Protección de Datos y la catalana lo han hecho el 6 de mayo de 2019. Se trata de una lista de criterios:

En el momento de analizar tratamientos de datos será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista expuesta a continuación:

La biometría aparece en el punto 5 de la lista. Por tanto, si no concurren otros puntos, la EIPD es prescindible desde el punto de vista de riesgo.

El considerando 26 del RGPD

El considerando 26 indica que los pseudónimos siguen siendo datos personales, puesto que un pseudónimo es reversible mediante la correspondiente clave, llamada “información adicional” en el RGPD.

Un dato biométrico no es estrictamente un pseudónimo, porque el algoritmo que lo transforma, desde la captura inicial (imagen, video, grabación) a la secuencia de dígitos final, es irreversible. Sin embargo, la certeza de que algún día la secuencias se puedan revertir no es absoluta. Si se produjera tal reversión, el dato biométrico sería, efectivamente, un pseudónimo.

El mismo considerando también expone que una persona es identificable mediante sus datos personales si el esfuerzo es razonable en tiempo, medios y coste. Lo cual sitúa a los patrones biométricos a las puertas de no ser dato personal. Argumento atractivo pero desestimado por las autoridades de control cuando se ha invocado como línea de defensa.

El considerando 26 pues, será adecuado en situaciones específicas y acotadas en el tiempo; por ejemplo, envío ocasional de datos a un proveedor, adecuadamente pseudonimizados y sin clave).

La AEPD

La AEPD mantiene respecto de la biometría ciertos criterios:

  1. Es posible que la biometría esté permitida por el RGPD en el marco del Derecho Laboral
  2. Debe aplicarse el principio de minimización. Es decir, limitarse a aplicar la biometría allí donde se considere realmente necesario para que el control sea eficaz.
  3. Debe almacenar el patrón de la huella en un objeto (token) que porte el titular y no en una base de datos centralizada (la cual tendrá tantos registros como empleados, socios, etc..). Este aspecto está considerado buena práctica y se menciona como fundamental.

Esos criterios confirman la sensación de que, en biometría, las autoridades mantienen una prevención importante, mientras la postura favorable a ella, materializada en una gran aceptación y evolución de mercado, está insuficientemente soportada por textos legales. En este caso, la realidad lo aguanta todo, el papel no.

Conclusión

La implantación de biometría, en entornos sin exigencias especiales de identificación, encuentra al menos tres barreras:

  • está prohibida por el RGPD (el cual la menciona dos veces, una para prohibirla y la otra para reservar a leyes nacionales su regulación supletoria).
  • no hay ley española que la trate específicamente en derecho laboral (salvando la posibilidad de convenios colectivos) o en tráfico mercantil, ni circular de la AEPD
  • ha sido considerada innecesaria y desproporcionada por las autoridades europeas y españolas de forma recurrente cuando se invoca al interés legítimo

Así, mientras llega una necesaria regulación nacional (o incluso europea) respecto de la biometría en entornos tan cotidianos como los aquí expuestos, la decisión a tomar se basa en excesiva y confusa diversidad de conceptos

Empleados

Salvando las circunstancias apuntadas anteriormente (posibilidad de suplantación, instalaciones restringidas, …) la biometría en control de acceso y horario para empleados no es recomendable por falta de solidez de los textos jurídicos. Urdir una línea de defensa no es trivial, y la opción más interesante, el convenio colectivo, puede ser objetada.

Socios

El consentimiento explícito sería la opción preferible, que conlleva en sí misma la exclusión voluntaria. Debería bastar.

La atinada recomendación de abordar una EIPD no garantiza, llegado el caso, que se siga considerando excesivo el tratamiento excesivo y el principio de necesidad actúe nuevamente como factor predominante e irrefutable.

Por ello, si no hay motivos que excluyan los métodos menos intrusivos, es preferible no usar la biometría en acceso a equipamientos por parte de socios.

EIPD

Si, por uno u otro motivo, se decida usar la biometría, es aconsejable acometer una EIPD que revele las fortalezas técnicas de la tecnología utilizada, especialmente en cuanto a seguridad (contra reversión y reutilización). Esa EIPD debe contar con el obligado concurso del proveedor tecnológico. Situación ideal será que sea el propio proveedor quien entregue la EIPD con el proyecto de implementación, evitando al responsable el coste, en todo o en parte, de la EIPD.

Antonio March | amc@datium.eu
Marzo – Mayo 2019

Imagen : Dazzle Jam – Uganda – Pexels

El dato biométrico en control de acceso

El tratamiento expuesto en este artículo consiste en usar técnicas biométricas para acceder al puesto de trabajo o a un equipamiento. Y ese planteamiento choca con el principio de necesidad: hay medios menos intrusivos para acceder. Y el muro se convierte (o al menos así viene siendo) en infranqueable, incluso aportando garantías técnicas solventes o consentimiento explícito.

La realidad es que el objetivo perseguido por el empresario es que el interesado acceda “sin portar objeto alguno ni memorizar nada”. Esa operación se conoce como identificación, contrapuesta a la autenticación donde un individuo muestra algo (tarjeta) o teclea una contraseña y a continuación expone su característica biométrica para emparejar con la información previa.

En la identificación, la biometría es necesaria. Ninguna otra técnica permite hoy asegurar que una persona es socia / empleada sin medios adicionales (quizá el ADN).

El argumento que las bases de datos centrales conllevan inasumible riesgo comparado con que el dato biométrico permanezca en poder del interesado, es técnicamente opinable. Además, descalifica el objetivo mencionado anteriormente del empresario, y su derecho a la libre empresa y a la consecución de productividad, principios ambos constitucionalmente protegidos[2].

De hecho, la biometría puede considerarse también un protector de la privacidad, al eliminar el riesgo de pérdida o hurto del token o filtrado de contraseñas.

[1] Los preceptos en juego son: RGPD, Considerando 41 y art 9.2.b, Constitución art. 53 y 93, y la jurisprudencia acerca de primacía entre Derecho Comunitario y Constitución.

[2] La libertad de empresa se reconoce también en la Carta Europea de Derechos Fundamentales (art 16), vinculante desde 2009.

Seguir Antonio March:

Últimas publicaciones de