Controles de acceso biométricos

Ha pasado casi desapercibido un conflicto y su resolución sobre la cuestión enunciada en el título de la entrada. Por primera vez ha llegado hasta nuestro Tribunal Supremo un asunto que tiene que ver, no tanto con la protección de datos de carácter personal, sino con la viabilidad de que una empresa establezca un control de acceso a la misma, para sus trabajadores, basado no en sistemas de accesos lógicos o técnicos, sino biométricos.

La trascendencia de la cuestión se deriva no sólo de esa posibilidad en cuanto a los controles de acceso o presencia en un determinado lugar, sino de la creciente y continua generalización de ese sistema, que a día de hoy podemos observar en numerosos ordenadores que posibilitan la autenticación del usuario a través de la comparación de su huella dactilar. Como sabéis, aunque introducido de “rondón”, en numerosas organizaciones ya se ha implantado ese sistema para “logearse” en el sistema y acceder a la red corportativa.

 

El conflicto que se ha resuelto ahora parte de la decisión de una organización de implantar un sistema de acceso a un edificio de carácter biométrico. En concreto, mediante la comparación de la huella dactilar de la persona que pretende acceder con la base de datos de huellas dactilares del sistema.

 

Desde un punto de vista más técnico (que me perdonen los “idems” por la intromisión) los controles de acceso y controles de presencia en que necesita identificar el usuario a través de sistemas de este tipo se usa un lector controlado por el hardware correspondiente. Este hardware consiste básicamente en un terminal que usa un lector (sea óptico, biométrico o de otro tipo) para identificar al usuario, a través de rayos infrarrojos, principalmente. Un buen uso de la biometría permite identificar a partir de algunos de los rasgos biológicos únicos a una persona de manera plena y unívoca, existiendo pocas posibilidades de suplantación de identidad, sino es a través de complejos sistemas.

En función del grado de conocimiento de la tecnología (y de la inversión que la organización puede o quiere efectuar), se suelen utilizar para llevar a cabo esa identificación sistemas biométricos basados en el reconocimiento por huella dactilar. En estos casos, la huella digital del usuario es capturada usando un escáner óptico o biométrico, cuyo resultado es comparado con una base de datos de los usuarios registrados creada con anterioridad. En el caso de coincidencia quedarán registrados en el sistema la fecha, hora y lugar por el que el usuario accede o sale del sistema.

Como en todas las cuestiones tecnológicas, no todos los sistemas de autenticación biométrica son iguales de “fuertes”. Como ha quedado dicho, en función de la inversión a efectuar, podemos señalar que mientras que algunos detectan solamente la forma de la huella, otros comprueban pulso y temperatura para confirmar que se trata de un dedo real, etc.. No olvidemos en todo caso, como señalaba Sergio Hernando (por cierto, blog fundamental) hace tiempo, que todos los sistemas pueden burlarse.

 

El sistema técnico que se viene a implantar es el que se describe a continuación: la lectura biométrica de la mano se efectúa mediante un escáner a través de rayos infrarrojos. Esta lectura por infrarrojos implica, a su vez, la transformación de la imagen tridimensional en un algoritmo plasmado, a su vez, en “bytes”, en lo que se denomina “template”, palabra inglesa que significa plantilla y que en acepción reciente expresa un modelo de concepción de programas o de presentación de datos. Ese “template”, incorporado a una base de datos creada previamente (cuya creación y existencia ha sido notificada y registrada en la Agencia de Protección de Datos), permite su asociación con la identidad de los empleados/usuarios, haciendo posible efectuar el control horario de acceso y salida de los edificios en los que se implementa tal sistema. Es importante reseñar a los efectos pertinentes que la información convertida en esos bytes no comporta huellas, ni fotografías y, por sí sola, no es idónea para identificar a las personas (recordemos el concepto de “datos disociados” a que hemos hecho referencia en otra entrada anterior). Por otra parte, el mecanismo se presenta como inocuo desde el punto de vista de la salud, habiéndose presentado certificados de conformidad de los aparatos instalados e informes médico-sanitarios que abundan en tal sentido.

 

Así las cosas, nuestros tribunales han señalado que la implantación de ese sistema de control no infringe derecho fundamental alguno tal como los ha definido el Tribunal Constitucional. En efecto, entendió que no supone una restricción desproporcionada de los mismos, ni lesiona el derecho a la intimidad, ni el derecho a la protección de datos de carácter personal regulado por la LOPD, ni el derecho a la llamada intimidad corporal. Tampoco aprecia que el sistema de control horario discutido comporte daños para la salud por los efectos biológicos de las radiaciones que pueda emitir el escáner, semejantes a las de un mando a distancia de televisión.

 

Se afirma que la justificación para la implantación del sistema existe y no hay norma que prohíba el recurso a la tecnología escogida para realizar el control del cumplimiento del horario de trabajo. Su novedad o complejidad no la convierten en lesiva de los derechos fundamentales invocados. Y el posible desequilibrio que pudiera existir entre el uso de la biometría y ese control no es cuestión a dirimir jurisdiccionalmente en un proceso de estas características.

Los “Morosos e Insolventes” están de enhorabuena (1ª parte)

El desarrollo que se ha hecho de los registros de datos de carácter personal relativo a insolventes y morosos en el nuevo Reglamento de la LOPD no ha gustado nada a las empresas que se dedican a esas actividades. Debe ser por eso que, junto con alguno más, han decidido impugnar un importante número de preceptos del mismo a través de los correspondientes recursos jurisdiccionales contencioso-administrativos.

 

La pregunta natural es ¿tienen motivo para estar “cabreados” con el nuevo Reglamento? Desde mi punto de vista, no les falta razón. Con sólo prestar atención a dos de las múltiples cuestiones que se abordan en el texto reglamentario nos daremos cuenta rápidamente. No está de más recordar que, en caso de duda, la solución siempre tiene que decantarse por el ejercicio de los derechos del afectado. Por ello, cuando no haya solución aparente entre dos posibilidades, habrá que darle la razón al “moroso”.

 

Antes de entrar en esta breve relación de cuestiones que se plantean con el nuevo Reglamento, es obligatorio recordar que la Ley Orgánica 15/1999 (al igual que la anterior norma de 1992), aborda el problema fundamentalmente en el artículo 29, regulación raquítica a la postre y que dejaba para el Reglamento el desarrollo de las principales cuestiones. Por ello, en su día, se dictó por la propia APD la Instrucción 1/1995, de 1 de marzo, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito. Esta Instrucción, dictada en interpretación de la antigua LORTAD, pretendía fijar unos criterios comunes y orientadores sobre tal cuestión. La citada Instrucción sigue vigente a día de hoy.

 

En el flamante nuevo Reglamento de desarrollo, se han pretendido introducir los criterios jurisprudenciales (y, por ende, los de la propia Agencia) sobre tal cuestión, existentes en los pronunciamientos de la Audiencia Nacional de los últimos años. El problema, claro está, es que intentar generalizar desde la perspectiva de sentencias que analizan asuntos individuales es sumamente complicado. Veamos unos ejemplos:

 

Se inicia el artículo 38 del RD 1720/2007 disponiendo en su número 1º que:

 

“Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos”.

 

Paremos un momento. Antes de ir con los requisitos hay que llamar la atención sobre un requisito previo que se enuncia en ese párrafo y que presenta los primeros problemas:

 

* “datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado”.

 

Según este texto, con carácter previo siquiera a considerar si la supuesta deuda cumple los requisitos para su inclusión, hay que determinar si la propia deuda (suponemos que, en función del importe) es determinante para enjuiciar la solvencia económica del afectado. Pero ¿quién efectúa esa valoración? ¿con qué datos ha de contar para llevarla a cabo? Supongo que no será lo mismo que el Presidente del Banco de Santander no pague una cuota de, digamos de la hipoteca, que sea yo mismo el que no la pague. Evidentemente, el enjuiciamiento de la solvencia económica de un afectado requiere que existan una serie de datos adicionales que permitan realizarla (¿datos de la declaración de la renta? ¿certificado de ingresos anuales? ¿nivel de endeudamiento?). Pero, ¿cómo van a acceder a tales datos? Habrá que observar qué nos dice la Audiencia Nacional sobre estas cuestiones. Pero es que, además, el impago de una cuota de la ADSL creo que no es suficiente para determinar la solvencia de nadie. En todo caso, puede ser un acto de justicia poética.

 

Si seguimos con el análisis del artículo, los problemas se acentúan:

 

Artículo 38.1.a:

“Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”.

 

Aún reconociendo que los conceptos por los que se determinan que una deuda es “cierta, vencida y exigible” ya han sido interpretados con reiteración, la segunda parte de ese párrafo exige que no se hay entablado reclamación judicial, arbitral o administrativa, o bien que no se haya planteado una reclamación ante el Comisionado para la defensa del cliente de servicios financieros del RD 303/2004.

 

Claro que, teniendo en cuenta que ese Real Decreto no ha sido desarrollado y que, por lo tanto, esa figura del Comisionado (diferente a la del “Defensor del Cliente”) camina por el limbo del BOE -como nos podrá confirmar Bartolomé-, difícilmente se va a poder hacer cargo de semejantes reclamaciones. El propio Consejo de Estado advertía, en su Informe preceptivo sobre el Reglamente, de las disfunciones de este articulado:

El Consejo de Estado no objeta esta redacción, pero considera que no obstante la amplitud de su enunciado, aún deja márgenes para distintas interpretaciones (…) En este sentido, ha de destacarse que las disposiciones reguladoras de los comisionados para la defensa del cliente de servicios financieros y los departamentos de atención al cliente y el defensor del cliente de las entidades financieras excluyen de su conocimiento las consultas, quejas o reclamaciones que se les dirijan cuando tengan conocimiento de que el asunto a que se refieran se encuentre o haya sido sometido a cualquier instancia arbitral, administrativa o judicial. (…) De las citadas disposiciones se deduce que esos órganos emiten informes de los que pueden resultar conductas de las entidades que prestan servicios financieros indiciarias del “quebrantamiento de normas de transparencia o protección a la clientela“, o en los que se detecten indicios de conductas delictivas, o de infracciones tributarias, de consumo o competencia, o de otra naturaleza, supuestos en los que habrán de ponerse los hechos en conocimiento del organismo de supervisión al que esté adscrito, a los efectos oportunos.

Resulta, por consiguiente, que el interesado que no ha entablado una reclamación en los términos del artículo 38.1.a) del Reglamento proyectado puede, sin embargo, haberse dirigido a alguno de los referidos órganos de defensa de sus derechos como usuario de servicios financieros. No parece lógico que la entidad que puede incurrir en alguna de las conductas descritas en el citado artículo 15 del Reglamento de Comisionados pueda, en tanto se resuelve la queja o reclamación, comunicar los datos de dicho cliente a un fichero de esta clase”.

Pero, además de lo anterior, ¿qué se entiende por una reclamación arbitral o administrativa? ¿tiene que ser órgano competente que pueda entrar a conocer la cuestión de la deuda o sobre la causa del origen de la deuda? Difícilmente. ¿Órgano municipal, autonómico, nacional? Con facultades reales de decisión o, meramente, consultivo.

Peor lo tenemos si lo anterior lo conectamos con el número 2º del mismo artículo 38 donde se establece que tampoco podrán incluirse cuando “exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores”. Toma ya. Un indicio es, según la RAE, un “Fenómeno que permite conocer o inferir la existencia de otro no percibido”, aunque bien podemos aplicar en este caso, su segunda acepción “Cantidad pequeñísima de algo, que no acaba de manifestarse como mensurable o significativa”. Suponemos que la valoración de tal circunstancia ha de efectuarla el responsable del fichero, ¿o no? Pero, principalmente, desconocemos cuál sea prueba indiciaria suficiente para evitar la inscripción o la cancelación cautelar del dato. Cualquier abogado al que le toque un asunto relacionado con este tema se frotará las manos con fruición. Algunos ejemplos ¿La presentación de una reclamación ante la Oficina Municipal de Consumo es una prueba indiciaria? ¿la remisión de un burofax? ¿la presentación de una reclamación ante el Servicio de atención al cliente? ¿Durante cuánto tiempo nos puede servir ese indicio?

Demasiadas preguntas para tan poco texto. En siguientes entradas seguiremos comentando estos artículos.

Nuevo Reglamento LOPD (IV): Medidas de nivel Alto

Continúo con la serie de entradas destinadas al nuevo Reglamento de la LOPD que, como ya sabéis, entró en vigor el pasado 19 de abril.

 

Continuamos, como en los anteriores, refiriéndonos al Reglamento aprobado mediante el Real Decreto 994/1999, de 11 de junio, como RD anterior y al Reglamento vigente a día de hoy, Real Decreto 1720/1997, de 21 de diciembre, como RD nuevo.

 

Una vez más, hay que recordar que los sistemas de información que deben adoptar las medidas de seguridad de nivel alto deben reunir, además de las específicas, las correspondientes a los niveles anteriores. Dicho lo cual, indicar que estas medidas de nivel alto deben aplicarse a los Ficheros que contengan datos de los denominados “especialmente protegidos” y, en concreto:

 

1. Los que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

3. Aquéllos que contengan datos derivados de actos de violencia de género.

 

No se les aplican las medidas de nivel alto a los ficheros de los operadores de servicios de comunicaciones electrónicas disponibles al público o a los que exploten redes públicas de comunicaciones electrónicas, sino únicamente la prevista en el artículo 103 (controles de acceso y su registro), en lo que se refiere a los datos de tráfico y a los datos de localización, se aplicarán.

 

Se dejan de aplicar, igualmente, las medidas de nivel alto a los ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando ( *) los datos se traten con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros (p.ej. sindicatos respecto a sus asociados, o asociaciones respecto a sus asociados; (**) cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad (empresas respecto a sus empleados); (***)

asimismo, los que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

 

Las normas sobre las medidas de nivel se contienen fundamentalmente en los artículos 23 a 26 del RD anterior y en los artículos 101 a 104 del RD nuevo. Quedan de la siguiente manera:

 

a) Gestión y Distribución de soportes. (art. 23 RD anterior y art. 101 RD nuevo).

 

Mientras en el artículo 23 del RD anterior se hacía una escueta referencia a la distribución de soportes, en el artículo 101 del RD nuevo se desarrolla con más amplitud esta cuestión.

 

Ahora se establece la obligación de utilizar sistemas de “etiquetado” de soportes que sean comprensibles para los usuarios con acceso autorizado a los citados soportes y documentos pero que, por el contrario, dificulten su identificación para el resto de personas.

Se insiste, igualmente, en la necesidad de que los soportes que contengan datos de carácter personal se preserven con un sistema de cifrado para los supuestos de transporte de tales soportes.

Especialmente importante es la nueva referencia a los dispositivos portátiles (véase, PDAs, ordenadores portátiles, USB keys, etc.). A partir de ahora, se obliga al cifrado de los datos de carácter personal contenidos en los mismos cuando tales dispositivos abandonen las instalaciones de la empresa. Se exige que se evite la utilización de dispositivos que portátiles que no permitan su cifrado, haciéndose constar tal circunstancia en el documento de seguridad “y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos”.

 

b) Registro de accesos (art. 24 RD anterior y 103 RD nuevo).

 

Se mantienen las siguientes obligaciones respecto a la situación anterior:

1. Guardar los logs correspondientes a los intentos de acceso con los datos relativos a la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado (estos son los datos mínimos que hay que guardar, no existiendo obstáculos para ampliar el rango de datos). En los accesos autorizados se guarda, además, la información que permita identificar el registro accedido.

2. Los sistemas de autorización de los registros de accesos quedan bajo el exclusivo poder directo del responsable de seguridad competente, quedando prohibida su desactivación ni la manipulación de los registros.

3. Se mantiene un período de conservación de los datos registrados de, al menos, dos años.

4. Es obligación del responsable de seguridad la revisión mensual (al menos) de la información anterior y la elaboración del informe correspondiente (¿a quién se le entrega?).

 

Como novedad se establece la exención de tener un registro de accesos en los supuestos en que el responsable del fichero o del tratamiento sea una persona física y cuando éste garantice que únicamente él tiene acceso y trata los datos personales.

 

En todo caso, es necesario que tal circunstancia se recoja expresamente en el documento de seguridad.

 

c) Copias de respaldo y recuperación (art. 25 RD anterior y 102 RD nuevo).

 

Al igual que en la situación anterior, es obligatorio mantener una copia de respaldo y de los procedimientos de recuperación de los datos que debe estar situado en  un “lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan”, debiendo cumplirse en ese lugar las medidas de seguridad del Fichero del que traen causa. Se exige la utilización de elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

 

d) Telecomunicaciones (art. 26 RD anterior y art. 104 RD nuevo).

 

Concluye este apartado relativo a las medidas de nivel alto con una referencia a las redes de telecomunicaciones, como sucedía en el RD anterior.

Ahora, dada la excepción existente a la aplicación de tales medidas en determinadas circunstancias, el RD nuevo exige que cuando estemos ante un supuesto de redes de telecomunicaciones en la que sí es necesaria su aplicación, sea a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, será necesario que se cifren los datos que ser transmitan por ellas o bien que se utilice un mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Habría que añadir, en la medida en que la técnica lo permita.

 

 

 

Con esto hay que dar por concluida el somero repaso de las novedades y modificaciones que, con carácter general, se introducen en el nuevo Reglamento respecto de las medidas de seguridad aplicables según los niveles correspondientes. En general podemos afirmar que las detalla de manera más comprensible y con una mejor estructura que en la versión anterior.

Se quedan muchas cuestiones en el tintero. Por eso, en posteriores entradas, me referiré a concretos conflictos que se pueden derivar de la entrada en vigor del mismo.

 

Espero que esta primera serie haya sido de vuestro interés.