El uso de datos biométricos en el sector privado es más común de los que mucha gente piensa, por ejemplo, algunos tenemos ordenadores o teléfonos móviles con autenticación por huella dactilar y esto lo hacemos para evitar que la información contenida en ellos caiga en malas manos, en especial cuando somos víctimas de hurto o pérdida de los dispositivos bajo nuestra responsabilidad. También usamos datos biométricos cuando accedemos a ciertas áreas de la organización a través de controladores autónomos, o cuando nos registramos en un dispositivo de control de asistencia en una empresa que carece de personal de control para supervisar una entrada.
Tal vez hemos participado en reuniones virtuales en donde un anfitrión cibernético reconoce nuestro patrón de voz y nos identifica, quizás nos hemos involucrado en procesos de grabación de voz por parte de prestadores de servicios, quienes registran las conversaciones telefónicas para soportar la aceptación o cancelación de ellos, o tal vez hemos tenido la oportunidad de ser identificados por una inteligencia artificial que analiza videos de CCTV buscando reconocer a cada uno de los individuos que aparecen en las imágenes grabadas.
En general, la información Biométrica agrupa una serie de características particulares de un individuo con el propósito de identificarlo plenamente; así entonces datos como la huella digital, el patrón de figura de la mano, del iris, de la retina, del rostro o el mismo ADN hacen parte de ella.
Pero ¿Cómo proceden las organizaciones con esa información? Muchas realizan el tratamiento de datos biométricos sin considerarlos como parte de los procesos internos; pues, creen que si dicho tratamiento está vinculado a actividades de seguridad y vigilancia, éste no tiene relación con los aspectos productivos, administrativos o comerciales que habitualmente supervisa la Superintendencia de Industria y Comercio; y esa es la razón para que en este artículo analicemos algunos aspectos importantes que se deben considerar al manejar información biométrica.
Primero que todo se debe entender que, los datos biométricos son sensibles y que su tratamiento está restringido exclusivamente a procesos que no se pueden adelantar de ninguna manera sin que se acceda a ellos; por lo tanto, se debe estar totalmente seguro de que existe una base legal clara, comprensible y que corresponde a una necesidad real. En tal sentido las altas cortes han dicho: “cuando un responsable requiera el uso de datos personales, entre ellos, los de carácter sensible, para los propósitos o finalidades por este perseguido, es importante que, antes que se inicie cualquier actividad que conlleve su procesamiento, dicho responsable deberá determinar cuál es la base jurídica que legitima dicho Tratamiento”.
En diferentes análisis constitucionales la corte ha indicado que, por ejemplo, para un control de tiempo y asistencia, se deben establecer ciertos aspectos antes de proceder a solicitar el registro de la huella del funcionario, y estos son:
- Incorporar salvaguardas, incluida una referencia a la naturaleza voluntaria del suministro de la huella para ser procesada a través de un sistema de lectura biométrica.
- Disponer de otros mecanismos para lograr el fin propuesto por la organización en el caso en que un empleado se niegue a suministrar su huella para ser procesada a través de un sistema biométrico.
- Disponer de argumento sólido que pruebe que un sistema biométrico de lectura de huella dactilar es el único mecanismo efectivo para garantizar el cumplimiento del horario por parte de los empleados y que no existen otros mecanismos apropiados que sean menos intrusivos o lesivos para los derechos y libertades de los Titulares, presentando por ejemplo argumentos que muestran el abuso de sistemas ya implementados que generaron situaciones de fraude.
Independientemente de la base legal y la condición establecida para el procesamiento, siempre se debe asegurar que la recopilación y el uso de datos biométricos sean proporcionales con los objetivos.
En el ejemplo expuesto, se debe considerar ofrecer alternativas a los titulares que no deseen entregar tal información sensible; algo como registrar la asistencia mediante el uso de un teclado con contraseña, o mediante tarjetas RFID entre muchos otros métodos de autenticación.
En el caso de tratamiento de datos biométricos que se procesan a gran escala, por ejemplo, los usados para monitorear en forma automática a los trabajadores, se establece como requisito legal la realización de una evaluación de impacto de la protección de datos, esto permitirá a los responsables de la toma de decisiones identificar, gestionar y mitigar cualquier riesgo asociado con el proceso.
También se debe tener en cuenta que para el procesamiento legal de datos biométricos se debe informar previamente a los interesados sobre el tratamiento. Un aviso de privacidad que describa claramente qué datos se procesará, con qué fines y cuál es la base legal de su tratamiento será de gran utilidad.
Por último, nunca olvide las medidas de seguridad ya que, con cualquier procesamiento de datos personales se deben implementar medidas técnicas y administrativas adecuadas y eficientes que proteger los datos personales procesados. En el caso de los datos biométricos, estos son de carácter sensible; por tal motivo, la seguridad de estos datos debe ser reforzada.
En conclusión, la identificación biométrica es una herramienta moderna que tiene infinidad de aplicaciones; su procesamiento exige un actuar en forma cuidadosa, vigilando siempre todos sus aspectos: desde la información que explica finalidades del tratamiento al titular, pasando por el soporte legal y la autorización de uso, hasta llegar a la custodia efectiva de la información y la garantía de ejercicio de derechos por parte de los titulares.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
