El Reglamento General de Protección de Datos es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Cada vez es más habitual que desbloqueemos nuestros smartphones con nuestra huella dactilar, nuestro rostro, nuestra voz o la usemos para acceder a la oficina o incluso registrar la jornada laboral. Sin embargo, a la hora de tratar este tipo de datos, las organizaciones deben tener en cuenta la normativa de protección de datos y lo que dice al respecto de los datos biométricos y su tratamiento.
RGPD
Según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en adelante RGPD, establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de los datos, en especial en su artículo 4.14, donde encontramos la definición de datos biométricos, entendiéndose como: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Asimismo, el art. 9.1 RGPD incluye entre los datos de categoría especial aquellos “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
¿Qué datos se consideran de categoría especial?
Para saber, si los datos biométricos se consideran datos especialmente protegidos debemos referirnos al considerando 51 de la RGPD, el cual señala que “…no debe considerarse sistemáticamente tratamiento de categoría especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.
Asimismo, según la AEPD, “en una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico especifico dirigido a identificar de manera univoca a una persona física”.
Al objeto de aclarar las dudas interpretativas, la AEPD atiende al Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, en el que se distingue:
- Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
- Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno), caso de Biometric Vox.
Atendiendo a la citada distinción, la AEPD entiende que el concepto de dato biométrico incluye ambos supuestos. Sin embargo, y con carácter general, únicamente tendrán la consideración de categoría especial en los supuestos de identificación biométrica (uno-a varios).
No obstante, la AEPD considera que “se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto”.
La AEPD indica que, atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación o autenticación. Sin embargo, y según la AEPD, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación o autenticación biométrica (uno-a-uno), caso de Biometric Vox.
Seguridad de los datos biométricos
En Biometric Vox, sabemos que la seguridad es un aspecto fundamental no solo la seguridad biométrica, que garantiza la identidad del usuario con la máxima fiabilidad, sino el conjunto de medidas que garantizan la máxima seguridad en todas las acciones y aspectos del sistema, así nuestro motor de biometría está desarrollado por diseño y por defecto para proteger los datos de los usuarios. Las huellas vocales de nuestro motor de biometría poseen las siguientes propiedades:
- Naturaleza abstracta: la huella vocal se elabora a partir del patrón generado por el motor de biometría mediante el análisis de la voz. Es un objeto matemático abstracto compuesto por una cadena de números sin significado alguno.
- Imposibilidad de inyectar una huella vocal: no es posible usar una huella vocal para suplantar a su usuario. La autenticación recibe voz como entrada, nunca una huella vocal.
- Imposibilidad de reconstruir la voz del usuario: no es posible reconstruir la voz del usuario a partir de su huella vocal, ni siquiera para Biometric Vox.
- Posibilidad de cancelar las huellas vocales: si se pensara que las huellas vocales han sido comprometidas, bastaría con reiniciar la semilla del motor biométrico para que éste generara y admitiera huellas vocales solo diferentes a las previas, quedando éstas inmediatamente invalidadas
Finalmente, a pesar no pertenecer a la categoría de datos especiales (recordemos que en Biometric Vox realizamos verificación no identificación) realizamos una «Evaluación de Impacto relativa a la protección de datos (EIPD)», de nuestros productos, con el fin de valorar la los posibles riesgos, incluyendo las medidas, garantías y mecanismos previstos para mitigar un posible riesgo, garantizando así la protección de datos personales.
FAQs
¿Quién es la figura y que competencias tiene el responsable de tratamiento de los datos?
Cada empresa es responsable de sus datos, y de la de sus clientes, en la operativa de su negocio.
¿Y la figura del encargado de protección de datos?
Las empresas que trabajan para otras, por ejemplo, prestando servicios de asesoría o como proveedor de servicios serían encargados de tratamiento de la empresa que los contrata. Por ejemplo, Biometric Vox es encargada de tratamiento de datos de sus clientes, relativa al tratamiento de datos que realiza con la aplicación con su software de biometría de voz.
¿Cómo se gestiona un tratamiento de datos especiales?
Para poder gestionar datos especiales el usuario tiene que dar su consentimiento manifiesto para ello.
