Análisis PRO

Biometría en el ámbito de la Seguridad Privada

Por Gemma G. Juanes - 4 abril, 2021

Área de Trabajo Seguridad Electrónica. Asociación Española de Empresas de Seguridad. AES

Un sistema biométrico se define como la toma de datos de las personas con el objeto de realizar su reconocimiento inequívoco, aplicando de manera automática una serie de técnicas sobre los rasgos físicos o de conducta propios de cada individuo.

Un indicador biométrico debe de cumplir los siguientes requerimientos:

Universal: Todos los individuos deben tener esta característica.
Unicidad: La posibilidad de que dos personas tengan el indicador idéntico, tiene que ser muy baja.
Permanente: El indicador no debe de variar con el tiempo.
Cuantificable: El indicador, se debe de poder medir y tener la capacidad del ser almacenado.
Existen multitud de sistemas de identificación por medio de la biometría, según el indicador biométrico que miden: Huella, Palma de mano, Venas, Facial, Iris, Voz,…..

Los sistemas biométricos comenzaron a usarse en seguridad electrónica en el año 1981, cuando se comenzaron a recoger, analizar y almacenar las huellas y hoy en día, podemos encontrarlo en multitud de aplicaciones diferentes a la seguridad: móviles, sistemas de pago, acceso a ordenadores, votaciones…

Pero sin lugar a duda, es en seguridad donde se le ha dado mayor aplicación a la biometría, dado que permite asegurar que una persona es quién dice ser o identificar fácilmente a un individuo. Principalmente, los sistemas biométricos se usan dentro de los sistemas de videovigilancia y control de accesos.

Algunas de las posibilidades que nos ofrecen los sistemas de videovigilancia son:

  • Cotejar el video en vivo con fotos y emitir una señal cuando encuentra un positivo.
  • Identificar características personales: sexo, edad, rasgos, vestimenta o emociones.
  • Acelerar las búsquedas dentro del video grabado, por cada uno de las características encontradas.
  • Identificación de vestimenta necesaria.
  • Comportamiento y todo lo relacionado con el aprendizaje humano basado en Deep Learning.
  • Los controles de acceso usan la biometría para identificar a una persona y permitirle el acceso a las áreas que se están protegiendo. En este caso, hay que distinguir dos tipos de cotejos:

1 a N: El identificador biométrico que se ha leído, se compara con toda la base de datos del sistema de control de acceso.

1 a 1: Previo al identificador biométrico, se identifica un dispositivo (tarjeta, móvil NFC, …) que pertenece a una persona. Al leer el dato biométrico, solo se compara con el dato biométrico guardado de esa persona.

Los sistemas biométricos son muy habituales hoy en día en cualquier sistema de seguridad. Nos ofrecen una tecnología indispensable para proteger nuestras instalaciones y acelerar la búsqueda de la información realmente relevante.

Los sistemas biométricos dentro de la Ley

El tratamiento de los datos biométricos está regulado por ley en Europa. El mejor ejemplo es el Reglamento de Protección de Datos (RGDP), que entró en vigor el 25 de Mayo de 2016 y en aplicación, el 25 de Mayo de 2018. En él, se regula la protección de personas respecto a sus datos personales y el uso de estos datos. Es una normativa a nivel de toda Europa, por lo que cualquier empresa de la Unión Europea, que disponga de información personal, debe de acogerse a este Reglamento.

Dentro del RGDP, en su artículo 4 «Definiciones», nos interesa especialmente la definición que realiza de «Dato personal»: Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Y también es de nuestro interés, la definición de «Datos Biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

Avanzando en el RGDP, el artículo 6 regula la «Licitud del tratamiento» de los datos personales e indica que el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

  1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
  2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
  3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
  5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Los datos biométricos, están recogidos dentro del Artículo 9, «Tratamiento de categorías especiales de datos personales», que indica claramente, dentro de su apartado 1, que: Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

«LOS SISTEMAS BIOMÉTRICOS SON MUY HABITUALES HOY EN DÍA EN CUALQUIER SISTEMA DE SEGURIDAD»

Esta prohibición no es de aplicación si ocurre cualquiera de los supuestos, del apartado 2 del mismo Artículo 9: 

  • Que el interesado por dicho tratamiento hubiera otorgado su consentimiento explícito para dicho tratamiento con uno o más de los fines especificados, excepto que existiera una prohibición legal a nivel europeo o estatal sobre ello. Por ejemplo, el uso de datos biométricos en un control de accesos.
  • Cuando el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (la empresa o persona que trata los datos inicialmente) o del propio interesado, con relación a aspectos relativos al derecho laboral, seguridad y protección social.
  • Cuando fuese necesario para proteger intereses vitales del interesado o de otra persona física, si el interesado no estuviera capacitado para dar su consentimiento.
  • Cuando el tratamiento se refiriera a datos personales que el interesado hubiese hecho anteriormente manifiestamente públicos.
  • Por interés público esencial.
    Cualquiera de los supuestos requiere de la evaluación de impacto por parte del responsable de los datos de la compañía.

Agencia Española de Protección de Datos (AEPD)

La Agencia Española de Protección de Datos (AEPD) publicó el pasado 28 de mayo de 2020, un informe jurídico respecto al tratamiento de datos por parte de las empresas de seguridad privada, centrándose especialmente en la legalidad del uso de cámaras con tecnología de reconocimiento facial.

A este respecto la AEPD muestra su preocupación ante el uso de sistemas de reconocimiento facial y advierte que las empresas de seguridad privada que emplean este tipo de tecnología carecen de base jurídica, ya que es un tratamiento de datos desproporcionado, dada la intrusión y los riesgos que suponen para los derechos fundamentales de los ciudadanos. Sin embargo, sí destaca casos excepcionales en los que este tipo de tratamientos de datos se pueden llevar a cabo.

Como se exponía anteriormente el tratamiento de datos biométricos tiene como objetivo la identificación de una persona de manera unívoca y al igual que en el resto de tecnologías biométricas el reconocimiento facial en los sistemas de videovigilancia, en algunos casos puede suponer, además, un tratamiento de datos de categorías especiales, lo que supone que el tratamiento debería estar limitado a determinadas ocasiones.

El informe destaca la diferencia entre identificación biométrica y verificación/autenticación biométrica.

De esta manera, el informe expone que la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos, de tal forma que se realiza un proceso de búsqueda de correspondencias uno-a varios. Esto es el cotejo 1 a N, que referíamos al iniciar este artículo.

Por otra parte, el informe indica que la verificación de un individuo por un sistema biométrico es el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo, es decir, un proceso de búsqueda de correspondencias uno a uno. Esto es nos referimos al cotejo 1 a 1, del inicio del presente artículo

La AEPD considera que esta diferenciación es clave para entender qué es lo que el Reglamento de Protección de Datos considera lo que es un dato de categoría especial y cual no, entendiendo que según el RGPD, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que estos se sometan a un tratamiento técnico dirigido a la identificación biométrica, es decir al citado cotejo 1 a N. De igual forma no tendrán la consideración de datos de categoría especial cuando el tratamiento técnico se realice con cotejo 1 a 1, esto es mediante el proceso de verificación referido por la AEPD.

Respecto a eso, el referido artículo 9 del RGPD en su punto 1, prohíbe el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física, aunque en el punto 2 expresa que este tipo de tratamiento podrá realizarse bajo el amparo del interés público si está previsto en una norma de derecho europeo o nacional.

En este sentido, la Ley Orgánica de Protección de Datos y garantías de los derechos digitales, especifica que dicha norma tendrá que tener rango de ley y además deberá especificar el interés público esencial que justifique la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse.

A día de hoy, la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada. Las referencias a los tratamientos de videovigilancia que están recogidos en nuestra Ley Orgánica de Protección de Datos, se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial o incluso por extensión a ningún otro tratamiento biométrico como puedan ser los de reconocimiento dactilar, de iris, de voz, vascular, etc…

Por otra parte, y así queda recogida en el RGPD, sí que existen supuestos excepcionales en los que podría estar justificado el empleo de sistemas de reconocimiento facial o cualquier otro tratamiento biométrico como es el caso de las infraestructuras críticas.

En multitud de ocasiones tanto la AEPD, como el Grupo de Trabajo de la Comisión Europea, han mostrado su preocupación ante el riesgo que supone este tipo de tecnologías.

El informe jurídico, la AEPD, destaca que la legalidad de este tipo de tratamientos es una cuestión compleja sometida a interpretación, lo que supone que se tendrá que analizar cada caso de manera individual.

Desde AES abogamos para que el necesario desarrollo reglamentario todavía pendiente, y la posible reforma de la Ley de Seguridad Privada, recoja esta particularidad para dotar a las empresas de seguridad de la capacidad de uso de los sistemas que utilicen tratamientos biométricos, en aras al interés público al que su función está encomendada, incluyendo para ello las limitaciones que fueran necesarias, tanto operativas como técnicas. Como por ejemplo la obligatoriedad de uso exclusivamente por personal de seguridad, evitando que esa información sea gestionada por personal no habilitado para ello.

Imágenes: Gerd Altmann/Pixabay

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba