El último modelo de Iphone incluye, como novedad más destacable o publicitada, un sistema reconocimiento facial (Face ID) para el bloqueo y desbloqueo del aparato, la descarga de aplicaciones o la autorización de pagos. El funcionamiento del sistema se basa en el almacenamiento de una imagen 3D del rostro del usuario en el terminal, que en ningún caso -aseguran desde Apple- permite su sincronización en la nube, que se compara con la imagen en 3D que toma la cámara en vivo.
A pesar de que otros modelos de smartphone, así como otros aparatos tecnológicos como por ejemplo, las máquinas de control de presencia, vienen incluyendo sistemas de reconocimiento dactilar, la llegada del reconocimiento facial puede suponer una paulatina introducción del tratamiento de datos biométricos en la cotidianeidad de los usuarios, las empresas y organizaciones.
Sobre la legitimación del tratamiento de datos biométricos en el ámbito de una relación laboral, como pueda ser el fichaje mediante huella dactilar, se ha pronunciado la Agencia Española de Protección de Datos (AGPD) en numerosas ocasiones, estableciendo que el tratamiento deberá ser:
Justificado: debe existir una finalidad que legitime el tratamiento.
Necesario: se exige que sea necesario en relación con la finalidad perseguida, es decir, que no haya otros medios menos invasivos para alcanzar la finalidad que justifica el tratamiento.
Proporcional: debe haber un equilibrio entre la finalidad perseguida que justifique el tratamiento de los datos.
Consentido: el interesado deberá consentir el tratamiento de dichos datos.
Del mismo modo, la directora de la Autoridad Catalana de Protección de Datos, Maria Àngels Barbarà, que el análisis de proporcionalidad entre los datos recogidos, las tecnologías utilizadas para hacerlo y la finalidad perseguida forma parte de la rendición de cuentas que deben regir todas las decisiones que toma el responsable de su tratamiento.
En este sentido, cabe recordar que el nuevo Reglamento Europeo de Protección de Datos (RGPD) también hace referencia a este tipo de tratamientos;
Atendiendo al de carácter sensible de los datos biométricos, establece la prohibición general para su tratamiento, por lo que únicamente podrán ser tratados salvo que concurra alguno de los supuestos establecidos en el Art. 9.2 del RGPD.
Establece la obligatoriedad de realizar una evaluación de impacto para todos cuando se empleen estos sistemas y se traten este tipo de datos.
El responsable deberá aplicar las medidas de seguridad necesarias y pertinentes, para garantizar la confidencialidad de los datos.
Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE), ha publicado una guía dedicada a empresarios sobre tecnologías biométricas aplicadas a la ciberseguridad, profundizando en las ventajas y los posibles riesgos que conlleva la utilización de estas técnicas.
Por tanto, si su organización trata datos biométricos o está pensando en implantar este tipo de sistemas de tratamiento, es necesario asesoramiento especializado en la materia para garantizar que dichos tratamientos se realizan de conformidad con la normativa vigente en materia de protección de datos.
Artículo escrito por Noelia Mudarra, abogada en Metricson.
Si desea más información sobre este asunto o quiere saber cómo el nuevo Reglamento General de Protección de Datos afecta a su negocio, póngase en contacto nuestro equipo de especialistas.