Ha pasado casi desapercibido un conflicto y su resolución sobre la cuestión enunciada en el título de la entrada. Por primera vez ha llegado hasta nuestro Tribunal Supremo un asunto que tiene que ver, no tanto con la protección de datos de carácter personal, sino con la viabilidad de que una empresa establezca un control de acceso a la misma, para sus trabajadores, basado no en sistemas de accesos lógicos o técnicos, sino biométricos.
La trascendencia de la cuestión se deriva no sólo de esa posibilidad en cuanto a los controles de acceso o presencia en un determinado lugar, sino de la creciente y continua generalización de ese sistema, que a día de hoy podemos observar en numerosos ordenadores que posibilitan la autenticación del usuario a través de la comparación de su huella dactilar. Como sabéis, aunque introducido de “rondón”, en numerosas organizaciones ya se ha implantado ese sistema para “logearse” en el sistema y acceder a la red corportativa.
El conflicto que se ha resuelto ahora parte de la decisión de una organización de implantar un sistema de acceso a un edificio de carácter biométrico. En concreto, mediante la comparación de la huella dactilar de la persona que pretende acceder con la base de datos de huellas dactilares del sistema.
Desde un punto de vista más técnico (que me perdonen los “idems” por la intromisión) los controles de acceso y controles de presencia en que necesita identificar el usuario a través de sistemas de este tipo se usa un lector controlado por el hardware correspondiente. Este hardware consiste básicamente en un terminal que usa un lector (sea óptico, biométrico o de otro tipo) para identificar al usuario, a través de rayos infrarrojos, principalmente. Un buen uso de la biometría permite identificar a partir de algunos de los rasgos biológicos únicos a una persona de manera plena y unívoca, existiendo pocas posibilidades de suplantación de identidad, sino es a través de complejos sistemas.
En función del grado de conocimiento de la tecnología (y de la inversión que la organización puede o quiere efectuar), se suelen utilizar para llevar a cabo esa identificación sistemas biométricos basados en el reconocimiento por huella dactilar. En estos casos, la huella digital del usuario es capturada usando un escáner óptico o biométrico, cuyo resultado es comparado con una base de datos de los usuarios registrados creada con anterioridad. En el caso de coincidencia quedarán registrados en el sistema la fecha, hora y lugar por el que el usuario accede o sale del sistema.
Como en todas las cuestiones tecnológicas, no todos los sistemas de autenticación biométrica son iguales de “fuertes”. Como ha quedado dicho, en función de la inversión a efectuar, podemos señalar que mientras que algunos detectan solamente la forma de la huella, otros comprueban pulso y temperatura para confirmar que se trata de un dedo real, etc.. No olvidemos en todo caso, como señalaba Sergio Hernando (por cierto, blog fundamental) hace tiempo, que todos los sistemas pueden burlarse.
El sistema técnico que se viene a implantar es el que se describe a continuación: la lectura biométrica de la mano se efectúa mediante un escáner a través de rayos infrarrojos. Esta lectura por infrarrojos implica, a su vez, la transformación de la imagen tridimensional en un algoritmo plasmado, a su vez, en “bytes”, en lo que se denomina “template”, palabra inglesa que significa plantilla y que en acepción reciente expresa un modelo de concepción de programas o de presentación de datos. Ese “template”, incorporado a una base de datos creada previamente (cuya creación y existencia ha sido notificada y registrada en la Agencia de Protección de Datos), permite su asociación con la identidad de los empleados/usuarios, haciendo posible efectuar el control horario de acceso y salida de los edificios en los que se implementa tal sistema. Es importante reseñar a los efectos pertinentes que la información convertida en esos bytes no comporta huellas, ni fotografías y, por sí sola, no es idónea para identificar a las personas (recordemos el concepto de “datos disociados” a que hemos hecho referencia en otra entrada anterior). Por otra parte, el mecanismo se presenta como inocuo desde el punto de vista de la salud, habiéndose presentado certificados de conformidad de los aparatos instalados e informes médico-sanitarios que abundan en tal sentido.
Así las cosas, nuestros tribunales han señalado que la implantación de ese sistema de control no infringe derecho fundamental alguno tal como los ha definido el Tribunal Constitucional. En efecto, entendió que no supone una restricción desproporcionada de los mismos, ni lesiona el derecho a la intimidad, ni el derecho a la protección de datos de carácter personal regulado por la LOPD, ni el derecho a la llamada intimidad corporal. Tampoco aprecia que el sistema de control horario discutido comporte daños para la salud por los efectos biológicos de las radiaciones que pueda emitir el escáner, semejantes a las de un mando a distancia de televisión.
Se afirma que la justificación para la implantación del sistema existe y no hay norma que prohíba el recurso a la tecnología escogida para realizar el control del cumplimiento del horario de trabajo. Su novedad o complejidad no la convierten en lesiva de los derechos fundamentales invocados. Y el posible desequilibrio que pudiera existir entre el uso de la biometría y ese control no es cuestión a dirimir jurisdiccionalmente en un proceso de estas características.
