En noviembre de 2023, la Agencia Española de Protección de Datos publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos (que en adelante denominaremos como «la Guía»). Como consecuencia de ello, en la Asociación Española de Ingenieros de Seguridad (AEINSE) hemos recibido consultas de nuestros asociados sobre la interpretación de su alcance. En particular, recibimos preguntas sobre si es de aplicación únicamente a los sistemas en el ámbito del control de presencia o si incluye su aplicación para fines de control de acceso en el ámbito de la seguridad.
Para dar respuesta a estas consultas, desde la asociación creamos un grupo de trabajo para analizar las implicaciones de la biometría y la inteligencia artificial en el ámbito de la seguridad y su aplicación. Como primer resultado de este grupo, hemos llegado a la conclusión de que existe una duda razonable para interpretar que las conclusiones de la Guía no se deberían aplicar en el uso de la biometría en el ámbito de la seguridad contra amenazas de origen antisocial o ataques deliberados.
En concreto, la Guía señala tres tipos de tratamiento de los datos en el control de presencia: registro de jornada, control de accesos con fines laborales y control de accesos con otras finalidades. Son precisamente estos últimos dos tratamientos los que han causado dudas en el ámbito de la seguridad.
Control de accesos
Respecto al control de accesos en el ámbito laboral, la Guía lo define como «un tratamiento de control de presencia que se encontraría vinculado a la finalidad de supervisar la entrada o salida a determinados recintos», y posteriormente lo fundamenta como medida que pueda estimar el empresario para “verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”.
Esta finalidad es distinta al control de accesos con fines de seguridad, definido en la Norma UNE-EN 60839- 11-1 «Sistemas electrónicos de alarma y seguridad. Parte 11-1 Sistemas electrónicos de control de acceso. Requisitos del sistema y de los componentes», que indica que un sistema electrónico de control de accesos «es un sistema destinado a conceder a unas personas o entidades autorizadas la entrada o salida de una zona de seguridad controlada y denegar esa entrada o salida a unas personas o entidades no autorizadas».
Debemos colaborar con la Agencia Española de Protección de Datos para definir un marco de uso de la biometría con fines de seguridad
Respecto al control de accesos para otras finalidades, la Guía pretende cubrir aquellos «casos en los que también resulta preciso realizar un control de presencia que no necesariamente está en relación con una relación laboral». En esta situación, lo que se pretende es la consecución de una finalidad distinta que consiste en una supervisión de acceso de usuarios o clientes a determinados recintos o espacios, o bien que sea necesario para la ejecución de un contrato de, por ejemplo, disfrute de determinados servicios. Al igual que en el punto anterior, esta finalidad es distinta al control de accesos con fines de seguridad.
Por lo tanto, parece razonable interpretar que el control de accesos con fines de seguridad no está incluido en la finalidad del control de accesos con fines laborales. Y, por lo tanto, la Guía no debería aplicarse en los sistemas de seguridad. Sin embargo, una interpretación que no sea compartida por la Agencia Española de Protección de Datos no es suficiente.
Biometría en seguridad
Desde la publicación de la Guía, el uso de la biometría en aplicaciones de seguridad se ha reducido significativamente, con impacto negativo y severo sobre un sector que se ha visto afectado.
Al no existir una visión compartida por la Agencia Española de Protección de Datos sobre la aplicación de esta guía en el control de accesos con fines de seguridad, muchos responsables en la protección de datos de las empresas están recomendando no aplicar biometría en aplicaciones de seguridad. Tenemos un problema.
Un problema que podría ser resuelto de una manera muy simple: conocer la doctrina que seguirá la Agencia Española de Protección de Datos sobre la aplicación de esta Guía. ¿Se pretende aplicar la Guía sobre tratamientos de control de presencia mediante sistemas biométricos a fines de seguridad?
No obstante, vamos a aprovechar este problema para profundizar un poco más. Es evidente que, en el contexto actual, la aplicación de nuevas tecnologías va a requerir un esfuerzo considerable de los distintos grupos de interés para garantizar la proporcionalidad de las medidas y los derechos fundamentales, pero también para permitir que las empresas (motor de la economía) sean más eficaces para protegerse de sus riesgos.
Es en este punto donde todos los grupos de interés, incluidas las asociaciones profesionales, debemos aportar y colaborar con la Agencia Española de Protección de Datos para definir un marco de uso de la biometría con fines de seguridad.
Consideramos que las aplicaciones de biometría, incluso dentro del mismo sector de la seguridad, deben tener una correcta interpretación para aplicarlas de forma proporcional y equilibrada. Por tanto, no parece acertado pretender que cada aplicación de biometría deba estar soportada por una norma con rango de ley.
La plantilla biométrica
- Dato o muestra biométrica: corresponde con la representación analógica o digital de características biológicas o de comportamiento de la que se extraerá una plantilla biométrica.
- Plantilla biométrica: es el resultado de la extracción de características biométricas mediante un proceso aplicado a un dato o muestra biométrica, con la intención de aislar y emitir números o etiquetas que puedan compararse con los extraídos de otros datos o muestras biométricas. Los sistemas de control guardan para cada persona una plantilla biométrica que servirá de base para la comparación con lecturas futuras y determinar si se trata de la misma persona.
Una plantilla biométrica se convierte en dato personal cuando se construye una base de datos que permite relacionar la plantilla con el titular
