1. Introducción
El próximo 25 de Mayo de 2018, empieza a aplicarse el nuevo REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.
La finalidad de este reglamento, es la unificación de todas las leyes de los países de la unión europea referentes a la gestión de los datos de carácter personal.
En lo referente a la protección de datos, la ley española se rige por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
La nueva ley europea que entra en vigor, no es ni mas ni menos restrictiva que la actual ley orgánica, de hecho coinciden en muchos puntos, pero si que hay diferencias a tener en cuenta.
La principal diferencia que afecta a los sistemas de control de presencia es el cambio de las categorías respecto a los tipos de datos personales.
En la LOPD vigente, se distinguían tres niveles: BAJO, MEDIO y ALTO. Estos niveles, están perfectamente definidos en la ley, así como las medidas a tomar según el nivel de los datos que se gestionen.
En el Nuevo RGPD Europeo, no existen estos niveles, y se pasan a definir algunos datos como “datos sensibles, y que requieren de una especial protección”, sin que se especifiquen unas medidas mínimas exigibles de seguridad.

2. Efecto de nueva RGPD relativos a los datos biométricos
Hasta ahora, los datos biométricos, estaban catalogados como de nivel bajo, por lo que no se requería de medidas adicionales a las ya existentes por disponer del nombre del trabajador
La nueva RGPD, define explícitamente los datos biométricos como datos que requieren de una protección especial, también incluye la definición de dato biométrico como: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Según esta definición, los datos biométricos utilizados para cualquier finalidad, incluida la del control de presencia, requerirán de medidas especiales de protección, ya que permite la identificación de personas de un modo automatizado.
Por tanto el disponer de datos biométricos, y estar estos datos catalogados como datos sensibles, nos obligará a tomar medidas adicionales para proteger estos datos, sin especificar este reglamento unas medidas mínimas.
Otro articulo a tener en cuenta en la nueva RGPD, es el articulo 9, en el que indica la prohibición de utilizar datos biométricos, exceptuando varios casos, uno de ellos, en el punto b, que permitiría la utilización de datos bimoétricos con la finalidad de control de presencia para la verificación del cumplimiento de un contrato laboral.
El hecho de tener datos biométricos, no implica que estemos obligados a tomar las mayores medidas de seguridad actualmente existentes, lo que si implica, es que es necesario tomar medidas de protección adicionales según el volumen de datos, y la finalidad para los que van a ser utilizados.
El riesgo existente en una empresa que dispone de los datos biométricos de cientos de miles de personas, y que utiliza estos datos para identificar a estas personas en las fotos de redes sociales para envíos de publicidad, no es comparable a una empresa que dispone de los datos biométricos de sus empleados para el registro de presencia, y por tanto las medidas exigibles no tendría que ser las mismas, sino las adecuadas para cada caso.
Con la finalidad de comprobar que las medidas tomadas, sean las adecuadas, las empresas con datos catalogados como “datos sensibles”, deberán realizar un “Análisis de riesgo” por una empresa especializada.
Por otro lado, no sería necesario tener un delegado de protección de datos en caso de tener datos biométricos en nuestra base de datos, ya que esta figura se requiere unicamente cuando se están manejando datos a gran escala.

3. Almacenamiento de datos biométricos en sistemas suministrados por SystemPin.
El almacenamiento de los datos biometricos de nuestro sistema se hace mediante el algoritmo biokey 10, es unos de los algoritmos más extendidos, y el utilizado en todo el mundo. Pueden encontrar información de este algoritmo de reconocimiento en la web http://bio-key.com/
La empresa desarrolladora de este algoritmo de reconocimiento es un Partner de Microsoft como se puede consultar en esta web http://bio-key.com/products/windows/ y utiliza este algoritmo para la autenticación de usuarios en windows y active directory, lo que nos da una idea de la fiabilidad de este algoritmo.
Nuestro software de control de presencia, almacena la información biométrica en la base de datos ubicada en el equipo que realice la labor de servidor de base de datos, en la mayoría de las casos, el mismo equipo en el que está instalado el programa.
La información que se almacena no se trata de una imagen, se trata de una información compuesta por caracteres alfanuméricos que permiten realizar comparaciones entre sí, para sacar un nivel de semejanza entre dos datos biométricos, y a partir de un nivel mínimo de semejanza preconfigurado, identificar a una persona.

4. Medidas adoptadas en nuestro software ante la entrada en vigor del nuevo RGPD.
En vistas de la entrada en vigor de la nueva ley, hemos mejorado nuestro software para dar la opción al usuario a configurar medidas con el fin de mejorar la seguridad del sistema si así se creé conveniente según la el análisis de riesgos realizado.
Las mejoras realizadas en nuestro software, nos permitirían:
Encriptación de datos biométricos contenidos en la base de datos mediante una contraseña y un protocolo seleccionado por el usuario.
Generación de Registro de Accesos, a los datos.
Contraseña para establecer comunicación entre el software y los terminales biométricos.
Disociación de datos en los terminales: De este modo si alguien accediera a la información del terminal, no podría saber a quién pertenece cada dato biométrico.
Borrado automático de datos biométricos no utilizados en un periodo de tiempo definido por el usuario.

5. Preguntas Frecuentes.
¿Está prohibido el uso de datos biometricos según el nuevo RGPD?
En el articulo 9 del RGPD, se establece la prohibición de la utilización de datos biométricos, y las excepciones a esta prohibición, detallando en la sección b como excepción, la finalidad de comprobar el cumplimiento de contratos laborales.
¿Se puede negar un empleado a que utilicemos sus datos biométricos?
En lo que a esto respecta, el nuevo RGPD, no ha afectado en nada ya que coincide con la antigua LOPD en que el uso de los datos de carácter personal tiene que ser proporcionado y justificado.
Existen varias sentencias que han sentado jurisprudencia, que indican la utilización de sistemas biométricos por parte de la empresa para el control de la jornada laboral, es un método proporcionado y justificado, y por tanto el trabajador está obligado a facilitar este dato personal.
1. Sentencia 47/2010 Tribunal Superior de Justicia de la Región de Murcia
2. Sentencia 5200/2007 Tribunal Supremo
3. Dictamen Nº D16-045 Agencia Vasca de Protección de Datos
Al tener datos biométricos de los empleados, ¿es necesario un Delegado de protección de datos?
No es necesario, esta figura solo será necesaria en caso de trabajar con volúmenes de datos a gran escala.
¿Que medidas requiere el nuevo RGPD si dispongo de datos biométricos de mis empleados?
El nuevo RGPD, no especifica medidas concretas, simplemente cataloga los datos biométricos como datos que requieren de una protección especial. El hecho de no especificar unas medidas concretas es debido a que no sería lógico exigir las mismas medidas de seguridad a una empresa que disponga de los datos biométricos de unas pocas decenas de empleados, que a aquellas que manejan volúmenes de información a gran escala.
El responsable será el encargado de fijar a su criterio las medidas oportunas para garantizar la confidencialidad y la protección de los datos personales, para ello, será necesaria la elaboración de un análisis de riesgo por una empresa especializada en el que deberán indicar los posibles riesgos y las medidas a tomar para corregirlos.

Call Now Button