Los Datos Biométricos y la Protección de Datos

Kenia Echenique
Kenia Echenique

Máster en Protección de Datos por la AEPD y UNED

Dejar un comentario

Contenidos

La cuarta revolución industrial ha venido con los avances tecnológicos como el Internet de las Cosas, el Cloud Computing, la robótica, la Inteligencia Artificial o el Big Data ha traído consigo grandes retos para la protección de datos. Y con ello medidas de seguridad para poder proteger nuestros datos, como es el caso de los datos biométricos.


Los datos biométricos son cada vez más utilizados en nuestra vida diaria, para una máxima optimización de la seguridad, la protección de datos debe jugar un papel esencial, para la integridad y confidencialidad de los mismos.


Seguramente estás de acuerdo conmigo que no podemos negar el progreso y el desarrollo de las tecnologías que han llegado a nuestras vidas para facilitarnos las cosas y aumentar la productividad. Sabemos que el tiempo es uno de los bienes más preciados, pues el tiempo que pasa, ya no se recupera. La protección de datos hará que uso de los datos biométricos con la tecnología que la acompaña, protegiendo tu privacidad.

¿Qué son los datos biométricos?​

Los datos biométricos son los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

 

Es importante que sepas que los datos biométricos entran dentro de la categoría de datos especialmente protegidos o datos sensibles que regula el RGPD.

 

Los biométricos están dirigidos a identificar de manera inequívoca a una persona.

¿Cuáles son los datos biométricos?

Espero ya te haya quedado claro que son los datos biométricos. Ahora te voy a explicar los diferentes tipos de datos biométricos existentes, los cuales son:

 

 

  1. La información biométrica se almacena en un algoritmo: La información biométrica recogida por ejemplo,(la imagen de una huella dactilar) se procesa siguiendo procedimientos definidos en estándares y el resultado de ese proceso se almacena en registros de datos denominados firmas, patrones o “templates”. Estos patrones registran numéricamente las características físicas que permiten diferenciar personas.
  2. El uso de datos biométricos es igual de intrusivo que cualquier otro sistema de identificación/autenticación: Los datos biométricos recogidos durante un procedimiento de autenticación o identificación revelan más información personal sobre el sujeto. Según los datos biométricos recogidos, pueden derivarse datos del sujeto como su raza o género (incluso de las huellas dactilares), su estado emocional, enfermedades, discapacidades y características genéticas, consumos de sustancias.
  3. La autentificación e identificación de los datos biométricos es precisa. Pero debes tener presente que no es 100% seguro como las contraseñas que si no son exactas no funcionan; mientras que la identificación-autenticación biométrica se basa en probabilidades. Hay una pequeña porción de probabilidad de un 96 por ciento, que pueden dar algunos falsos positivos.
  4. La identificación-autenticación biométrica es suficientemente precisa para diferenciar siempre entre dos personas: puede haber confusiones para el sistema biométrico.
  5. La identificación-autenticación biométrica es adecuada para todas las personas: Algunas personas no pueden utilizar determinados tipos de biometría porque sus características físicas no son reconocidas por el sistema. En el caso de accidentes, o lesiones, puede existir incompatibilidad temporal de biometría; mientras que si hay incompatibilidad permanente, puede ser causa de exclusión social.
  6. El proceso de identificación-autenticación biométrica no se puede burlar: existen procedimientos y técnicas que permiten burlar sistemas de autenticación biométrica y asumir la identidad de otra persona.
  7. La información biométrica no está expuesta: Si no se toman medidas que reduzcan el riesgo de uso no autorizado de datos biométricos, su uso equivale a llevar escrito en la frente nuestras claves de acceso.
  8. Todo tratamiento biométrico implica identificación- autenticación. En este caso te digo que no porque por ejemplo, el tratamiento biométrico del movimiento del rato de tu ordenador usado para determinar si un robot está accediendo a una página web implica tratar la información biométrica para diferenciar humano de máquina.
  9. Los sistemas de identificación-autenticación biométrica son más seguros para los usuarios: esto no es totalmente así, ya que si usas el mismo dato biométrico en diferentes dispositivos puede ser que sufran brecha de seguridad. Algo esencial que debes saber es que a diferencia de las contraseñas si la información biométrica ha sido comprometida no se puede cancelar.
  10. La autenticación biométrica es fuerte: Esa afirmación no es totalmente cierta pues, sólo utilizar biometría es un proceso de autenticación débil, mientras que utilizar una tarjeta de acceso y contraseña es fuerte. La autenticación biométrica en ocasiones exige un proceso previo de registro o identificación en el que, por ejemplo, en reconocimiento facial donde hay que comparar con la foto en el DNI, si, después del proceso de identificación, el proceso de autenticación sólo es biométrico, en ese caso sería un sistema débil.
  11. La identificación-autenticación biométrica es más cómoda para el usuario: esto va en dependencia del tipo de tecnologías utilizadas y de las circunstancias, así como la percepción y la cultura de cada usuario.
  12. La información biométrica convertida a un hash no es recuperable: debes saber que existen estudios que demuestran que el hash puede ser reversible, esto significa que, podría ser posible obtener el patrón biométrico original. Esto puede ocurrir si se vulnera el secreto de la contraseña utilizada para generar el hash.
  13. La información biométrica almacenada no permite reconstruir la información biométrica original de la que se ha extraído: Esta afirmación no es del todo cierta, ya que la información biométrica almacenada, como es caso de los patrones, hace posible que se pueda reconstruir de manera parcial la información original. Por ejemplo en los casos de información biométrica facial, existen estudios que plantean que se puede conseguir desde un retrato robot una representación real siempre teniendo en cuenta los niveles de información biométrica recogida.
  14. La información biométrica no es interoperable: tampoco es 100 por cien ajustada esta afirmación pues los sistemas de tratamiento de información biométrica progresan a través de estándares que aseguran la interoperabilidad.
que son los datos biometricos

¿Cómo deben tratarse estos datos biométricos para cumplir con el RGPD?

El tratamiento de los datos biométricos está regulado en el RGPD en el artículo 9 de este regulado como categoría de datos especiales junto a los datos genéticos, dirigidos a identificar de manera unívoca a una persona física.

 

¿Te gustaría ver el tratamiento de los datos biométricos a través de un ejemplo?

 

Se que es una pregunta que no puedes responder, pero me pongo en tu lugar y con ejemplos aterrizamos y todo es más fácil.

 

La huella digital es un dato biométrico muy utilizado en los accesos del gimnasio, sin necesidad de utilizar claves de acceso o tarjetas. En este caso este tratamiento de datos debe estar basado en el consentimiento explícito de las personas que darán su huella y ser recabado correctamente por el responsable de protección de datos.

 

Otro ejemplo de cómo deben tratarse los datos biométricos para cumplir con el RGPD está en el ámbito laboral. Como el tratamiento de datos realizado por los empleadores para controlar el cumplimiento por los trabajadores o empleados públicos de su jornada laboral.

Para algunos tratamientos de identificación y autenticación existen soluciones implementados con técnicas de Machine Learning que contienen, en la propia aplicación y accesibles, parte de los datos biométricos utilizados para su desarrollo.

Obligaciones de la empresa al utilizar datos biométricos

Está claro que tu como responsable de una empresa u organización si decides utilizar datos biométricos en tu empresa debes cumplir una serie de obligaciones entre las que está:

 

  • Informar previamente a todos los trabajadores y personal de la empresa sobre el uso de datos biométricos y la finalidad de los mismos.
  • Llevar a cabo una evaluación de impacto si se hace uso de datos biométricos con tecnologías que pueden vulnerar los derechos y libertades de las personas, por lo cual será imprescindible evaluar los potenciales riesgos que se puedan exponer.
  • Cumplir y respetar los principios establecidos por el RGPD como el principio de finalidad del tratamiento de datos, principio de minimización de los datos y el principio de proporcionalidad y necesidad.
  • Contar con un Registro de Actividades de Tratamiento , donde se recojan todos los tratamientos de la empresa y la evaluación de impacto realizada.
  • Cumplir con el ejercicio de derechos por parte de responsables, de las personas a se le cuales tenga un tratamiento de datos biométricos.
  • Mantener la confidencialidad de los datos biométricos que se gestionan.
  • Existencia de cláusulas contractuales que establecen bien las obligaciones de los responsables de la empresa, de los empleados y los encargados de tratamiento.
Recuerda siempre cumplir con todas las obligaciones en protección de datos al utilizar datos biométricos. Si necesitas ayuda contacta con nosotros y te ayudaremos a cumplir con la protección de datos en tu negocio.
¡Necesito ayuda!

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario

Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

Carrito de compra

 

Ayuda

CLASSIC

BASIC

BUSINESS

Cuenta

 

 

 

 

Dominios incluidos

Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos.

1

1

Venta online

Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega.

1

Usuarios

Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal.

3

10

25

Web

Ayuda

CLASSIC

BASIC

BUSINESS

Política de Privacidad

Generación personalizada de la política de privacidad de la web

ok

ok

Aviso Legal

Generación personalizada del aviso legal de la web

ok

ok

Política de Cookies

Generación personalizada de la política de cookies de la web

ok

ok

Actualizaciones de las políticas

Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas.

ok

ok

Políticas dinámicas

La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados.

ok

ok

Políticas HTML

Puedes incrustar políticas estáticas en tu web usando HTML

ok

ok

Leyendas legales

Para la primera capa informativa según el tipo de sistema de captación.

ok

ok

Banner Cookies

Texto a incorporar en los pop ups e cookies

ok

ok

Guía Webmaster

Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web.

ok

ok

Quitar logotipo de Legal Box

Elimina la marca Legal Box Plus de tus políticas

ok

RGPD

Ayuda

CLASSIC

BASIC

BUSINESS

Política PD

Documento sobre el protocolo de los principales elementos para cumplir con el RGPD

ok

Acuerdos confidencialidad

Contratos de confidencialidad con empleados, socios y colaboradores

3

5

10

Acuerdos con terceros

Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable

3

5

10

Acuerdo de cesión

Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos.

3

5

10

Consentimiento de cesión

Documento de consentimiento de los afectados para la cesión de datos.

3

5

10

Otros acuerdos

Como es el caso del acuerdo de autorización de recuperación de datos por tercero.

3

5

10

Registro de tratamientos

Documento corporativo sobre todos los tratamientos de datos que realiza el responsable.

ok

Manuales Usuarios

Manuales de seguridad para usuarios por perfiles.

3

5

10

Cláusulas informativas

Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc.

3

5

10

Análisis de riesgos

Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.

Protocolos

Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc.

1

ok

ok

Avisos

Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia

1

ok

ok

Cláusula servicios

Cláusula a incorporar en los contratos de servicios

ok

Gestión

Ayuda

CLASSIC

BASIC

BUSINESS

Peticiones

Gestión de derechos. Peticiones por cada derecho.

ok

ok

ok

Nombramiento DPD

Gestión del nombramiento del delegado de protección de datos

Registros

De entrada y salida de soportes de tratamiento de datos

ok

ok

ok

Derechos

Gestión de derechos, registros de derechos atendidos

ok

ok

ok

Incidencias

Registro y control de incidencias y brechas de seguridad

ok

Auditorias

Sistema de auditoría de los distintos tratamiento de datos

Marketing

Ayuda

CLASSIC

BASIC

BUSINESS

Acuerdo Imagen

Contrato de cesión de derechos de imagen

ok

Leyenda emails

Cláusula a incorporar en la firma de las cuentas de correo electrónico

ok

ok

Campañas

Cláusula a incorporar en las newsletter y en los boletines electrónicos

ok

ok

Grabaciones

Acuerdo de consentimiento de grabaciones sesiones de retransmisión

ok

ok

Ayuda CLASSIC WEB ECOMMERCE
Cuenta  
Dominios incluidos Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos. 1 1
Venta online Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega. 1
Usuarios actividad Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal. 3
Web Ayuda CLASSIC WEB ECOMMERCE
Política de Privacidad Generación personalizada de la política de privacidad de la web ok ok
Aviso Legal Generación personalizada del aviso legal de la web ok ok
Política de Cookies Generación personalizada de la política de cookies de la web ok ok
Actualizaciones de las políticas Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas. ok ok
Políticas dinámicas La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados. ok ok
Políticas HTML Puedes incrustar políticas estáticas en tu web usando HTML ok ok
Leyendas legales Para la primera capa informativa según el tipo de sistema de captación. ok ok
Banner Cookies Texto a incorporar en los pop ups e cookies ok ok
Guía Webmaster Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web. ok ok
Quitar logotipo de Legal Box Elimina la marca Legal Box Plus de tus políticas ok
RGPD Ayuda CLASSIC WEB ECOMMERCE
Política PD Documento sobre el protocolo de los principales elementos para cumplir con el RGPD ok
Acuerdos confidencialidad Contratos de confidencialidad con empleados, socios y colaboradores 3
Acuerdos con terceros Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable 3
Acuerdo de cesión Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos. 3
Consentimiento de cesión Documento de consentimiento de los afectados para la cesión de datos. 3
Otros acuerdos Como es el caso del acuerdo de autorización de recuperación de datos por terceros. 3
Registro de tratamientos Documento corporativo sobre todos los tratamientos de datos que realiza el responsable. ok
Manuales Usuarios Manuales de seguridad para usuarios por perfiles. 3
Cláusulas informativas Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc. 3
Análisis de riesgos Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.
Protocolos Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc. ok
Avisos Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia ok
Cláusula servicios Cláusula a incorporar en los contratos de servicios ok
Gestión Ayuda CLASSIC WEB ECOMMERCE
Peticiones Gestión de derechos. Peticiones por cada derecho. ok
Nombramiento DPD Gestión del nombramiento del delegado de protección de datos
Registros De entrada y salida de soportes de tratamiento de datos ok
Derechos Gestión de derechos, registros de derechos atendidos ok
Incidencias Registro y control de incidencias y brechas de seguridad
Auditorias Sistema de auditoría de los distintos tratamiento de datos
Marketing Ayuda CLASSIC WEB ECOMMERCE
Acuerdo Imagen Contrato de cesión de derechos de imagen ok ok
Leyenda emails Cláusula a incorporar en la firma de las cuentas de correo electrónico ok ok
Campañas Cláusula a incorporar en las newsletter y en los boletines electrónicos ok ok
Grabaciones Acuerdo de consentimiento de grabaciones sesiones de retransmisión ok ok