14 de octubre de 2009

Informe Jurídico sobre la huella dactilar (y otros datos biométricos)

Hace unos días comentaba en el blog Marketing Positivo la Declaración de Infracción de la AEPD sobre la puesta en marcha por parte de un Museo público de un sistema de control de presencia de trabajadores basado en la huella dactilar. La AEPD sancionaba tal práctica sin entrar demasiado en el fondo del asunto, puesto que desde el incio quedaba claro que faltaba la pieza básica del cumplimiento de la LOPD: el consentimiento para el uso de datos personales, ya que tales datos habían sido recogidos sin haber procedido a informar previamente, de forma expresa, precisa e inequívoca, de ninguno de los extremos previstos en el artículo 5.1 de la LOPD.

Sin embargo uno de los habituales del blog comentaba:
¿Porqué no se entra nunca en la información excesiva?, ¿la huella no es información excesiva para prevenir una cosa tan nimia como un control de presencia?, ¿no hay técnicas eficaces y menos invasivas? ¿Los tornos y los vigilantes de seguridad no son suficientes? ¿cuando es suficiente? ¿tendras las empresas "información suficiente" alguna vez?
Aunque esto podría parecer un asunto alejado de la problemática de los profesionales y pequeñas empresas a quienes preferentemente se dirige este blog, resulta que el dueño de un taller mediano (15 empleados) me comenta que le han ofrecido montarle un sistema de control similar al comentado y ya que le ha parecido relativamente económico quiere saber si le puede dar problemas desde la perspectiva LOPD.

Como siempre que se da asesoramiento de tipo jurídico hay que extremar las precauciones, acudimos a la web de la AEPD por ver si entre sus miles de documentos hay más referencias al asunto, y así encontramos el Informe Jurídico 0368/2006. En este caso se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos.

Primero se define el concepto de dato biométrico:
Son datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.
Después se cita documentación europea:
A nuestro juicio, tal y como se ha venido indicando por el Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE, en el Documento de Trabajo sobre biometría, de fecha 1 agosto de 2003, la obtención de la huella dactilar como medio para identificar a los alumnos en el centro resulta excesivo y desproporcionado, para dicha finalidad.
Y finalmente se declara:
En consecuencia, entendemos que resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.
¿Aplicación a una empresa en control de trabajadores? Aunque en el Informe no se trate el tema desde la perspectiva empresarial, entiendo que a falta de otro documento se puede traspasar el concepto y aconsejar tal y como se dice en el texto buscar un medio de control menos intrusivo.

10 comentarios:

José Juan Cerpa dijo...

Interesante artículo Jesús! Como sabrás básicamente existen 3 métodos de autenticación (verificación) a un sistema: Por algo que uno sabe (contraseña), por algo que uno tiene (tarjeta) y por algo que uno es (huella dactilar). Se pueden usar de forma combinada (ej. tarjetas de crédito) o intependiente según se precise mayor o menor efectividad en la medida de seguridad. Normalmente un sistema de control de acceso (horarios) suele usar un mecanismo de tarjetas (fichajes), que muchas veces puede ser poco efectivo (ej. las tarjetas se pasan entre los empleados fichándose entre ellos). En este sencillo ejemplo un sistema biométrico podría ser más efectivo pero como bien dices desproporcionado (salvo que la empresa tenga 1000 empleados y cada día sólo le vengan 500 a trabajar y esté perdiendo mucho dinero XD). El problema que veo es que la tecnología avanza y es cada vez más accesible por lo que creo que va a suceder como ha ocurrido con el tema de la videovigilancia, que estos sistemas terminarán estando por todos lados. Personalmente creo que la solución no vendrá de prohibir el uso sino que exista desde la base una concienciación importante sobre la protección de la información y sobre todo la de carácter personal. Esto nos va a costar muchísimo arreglarlo porque desde un principio se está obligando a cumplir con la LOPD para evitar sanciones y no por crear conciencia de la importancia que tienen los datos que tratan para sus titulares (afectados). Si no recuerdo mal creo que el director de la AEPD ha propuesto el que exista una asignatura con referencia a la seguridad de internet y a lo mejor por ahí empieza el camino, con la educación.

Un saludo

PD: Necesito conocer tu sistema de gestión del tiempo XD

Marketing Positivo dijo...

Juan José: totalmente de acuerdo. Es verdad que se trabaja poco con la concienciación, pero también es cierto que aún estamos en una primera fase de desarrollo LOPD, y de momento no está mal que se empiece a cumplir la ley aunque sea en sus factores documentales.
Además este ha sido siempre uno de mis argumentos preferidos a la hora de explorar la protección de datos como negocio: ya que la tecnología no para de desarrollarse, la ley tendrá que caminar en paralelo adaptándose a cada nueva situación, y por eso un cliente LOPD es un mantenimiento para siempre.

Respecto a la gestión del tiempo lamento no poder darte muchas pistas. En ocasiones hasta yo mismo me pregunto cómo lo hago :P

Marketing Positivo dijo...

Jose Juan: disculpa, en el comenatrio anterior le di la vuelta tu nombre :-)

Pau A. Monserrat dijo...

Este blog es una gran herramienta para los interesados en LOPD. Enhorabuena una vez más e incluyo un enlace a Futur Finances en Facebook

mare dijo...

Hola Jesús,

Coincido con vuestro criterio, en la mayoría de las empresas existen otros métodos de control que vulneran menos la privacidad del trabajador. Podría darse el caso de que fuesen necesarios en instalaciones de alta seguridad (p.ej), pero no a nivel habitual por lo que creo.

Y por supuesto con el consentimiento del trabajador. NO conocía el caso de este Museo de Mallorca, veo que los sindicatos han estado ojo avizor.

Muy interesante, como siempre.

Saludos

Matilde dijo...

Felicito por este blog y por el artículo publicado. Estas intervenciones previenen a las sociedades a protejer sus datos personales.

Marketing Positivo dijo...

Gracias Pau, Mare y Matilde. Que el blog os sea útil es una gran satisfacción.

RUBEN.SOSA2009 dijo...

BUENAS TARDES UN SALUDO,A TODOS,ME PODRIAN CONESTAR ALGUNO,QUE COMO PUEDE SER QUE AL TOMAR LAS HUELLAS DE UN ROBO,SI NO SE TIENE ANTECEDENTES,SE ARCHIVA EL CASO

S. Guirao dijo...

Decir que poniendo la huella dactilar se vulnera un derecho personal es como decir que teclear tu DNI o un PIN o pasar una tarjeta se vulneran los derechos de protección de datos de las personas.
Es una estupidez decir que la huella es un dato de bajo nivel como el DNI pero poner la huella resulta desproporcionado con respecto a que? a poner un PIN?, también me identifica no? o poner mi DNI también es desproporcionado? no?
Todo esta controversia se desprende de que los estamentos públicos pretendían no ser controlados mediante huella dactilar, pero una vez superado todo esto, cuantas resoluciones estúpidas de la agencia se han pronunciado en contra de poder identificar mediante la huella dactilar.
Todavía hay mucho más según las resoluciones de la propia agencia de protección de datos no es obligatorio el consentimiento de un trabajador que tiene que fichar, solo tiene que ser informado.
Pero es inconcebible que en el caso en que se pronuncia la agencia sobre el control de absentismo en un colegio, diga que es desproporcionado para el fin que se pretende. La agencia sabe cual es el fin que se pretende, tienen estos tipos hijos en edad escolar?. No les preocupa que sus hijos sean secuestrados?, no les preocupa que sus hijos hagan novillos pasándole la tarjeta a un colega para que no detecten sus novillos, usted padre convencido que su hijo está en el colegio, pero su hijo Dios sabe lo que estará haciendo, pero seguro que nada bueno. Eso es desproporcionado? PUES NO!
También es desproporcionado el control del comedor escolar, que usted padre, tenga la certeza de que su hijo ha comido los días que se queda en el colegio, es desproporcionado poder salvar la vida de una chica, su hija por que es anoréxica y no sabe nada por que le pasa la tarjeta a una compañera.
Es por todo ello que la agencia esta formada por una trupe de insensatos que anteponen la protección de datos como la huella que se puede conseguir más fácilmente que el nombre de una persona, a la seguridad de un padre que confía en el colegio y en los sistemas de seguridad del colegio donde acuden sus hijos
Saludos
Sebas

S. Guirao dijo...

Podeis verlo también aquí
http://sguirao.blogspot.com.es/2013/07/respuesta-informe-juridico-sobre-la.html

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.