Controles a tener en cuenta en la instalación de un sistema de control biométrico
La instalación de controles de presencia, requiere un profundo análisis.
Publicado el jueves, 02 de mayo de 2019 a las 07:04
Hace un par de semanas comentaba en un post relativo a la implantación del control horario obligatorio en las empresas, la importancia de minimizar los riesgos en la gestión de la privacidad de estos datos.
Para ese control horario, cada vez más, se están empleando dispositivos técnicos que gestionan datos biométricos.
Estos dispositivos y esta tecnología no está exenta de riesgos y por tanto, en este post, me gustaría dar un repaso a los puntos más importantes relacionados con la vulneración de la privacidad y la seguridad en este tipo de tecnologías.
Hay que tener en cuenta que la biométrica es una tecnología que, aunque lleva años implantada, evoluciona muy rápidamente, al presentarse nuevos escenarios que valorar. Si al principio se controlaba la huella dactilar, al poco tiempo se le unió la lectura de iris, más adelante el control por reconocimiento del habla, el seguimiento de patrones de tecleado, la forma de andar o el perfil de la oreja.
Por tanto, los requerimientos y riesgos que se cubrían en una primera fase, ya no son los mismos que se han de controlar en la actualidad.
Vamos por tanto a ver cuales son los riesgos que hemos de tener en cuenta a la hora de gestionar un sistema de control biométrico, independientemente de la función que tenga que cumplir.
- Perdida o robo. Los datos biométricos son por lo general, invariables a lo largo del tiempo. La falta de renovación de estos datos, por sus propias características, hace que no sean adecuados para usarse como contraseñas pero si como identificación del usuario. Por tanto, si se da una incidencia de robo de este tipo de credenciales, se tiene que gestionar como una incidencia grave, ya que estos datos están ligados directamente al individuo.
- Suplantación. En relación con el punto anterior. Si se diera un caso de suplantación de identidad usando este tipo de tecnología, tendríamos que extremar las medidas de seguridad, pues como decía anteriormente, al estar estar ligado el dato directamente a la personal, es de suponer que se ha producido una incidencia de especial gravedad.
- Ataques físicos, a los dispositivos de control, que pueden producirse para inhabilitarlos e impedir su funcionamiento. Los riesgos bajos, pero que hay que considerarlos en caso de malestar por la implantación del sistema o descontento por los resultados que ofrece.
- Incumplimiento de la normativa en materia de protección de datos. A efectos de la actual normativa en materia de protección de datos (RGPD y LOPDGDD), los datos biométricos tienen la consideración de categoría especial de datos personales (artículo 9 RGPD), por tanto, aunque queda prohibida su gestión, esta estaría disponible cuando concurran escenarios de consentimiento por parte del usuario y esté suficientemente acreditada su legitimidad, como es el caso de una relación laboral.
- Calidad de los sistemas empleados. Existe mucha oferta de sistemas de gestión biométrica. Es conveniente asegurarse la adecuada calidad de los mismos en lo referente al almacenamiento de los datos recopilados, la encriptación de los mismos, la interoperabilidad con otros sistemas, etc.
- Incidencias con los sistemas. En directa relación con el punto anterior, hemos de tener en cuenta que los dispositivos biométricos están sujetos a los mismos riesgos que el resto de la estructura de cualquier empresa: ataques físicos, cortes de suministro eléctrico, incidencias con el software que los administra, etc. Por tanto, todos los planes de contingencia que se pongan en marcha, han de contemplar también estos dispositivos.
- Variación de los patrones de reconocimiento. En ocasiones los patrones basados en la lectura de perfiles de la oreja, perfil de la mano u otros, pueden verse modificados de forma involuntaria por parte del usuario a causa de algún accidente. Esto puede determinar que el sistema no identifique bien al usuario.
- Falta de aceptación. El sistema puede verse comprometido por algún grupo de usuarios que por razones culturales, personales o religiosas, vean el sistema elegido como contrario a su privacidad, se imposibilite su utilización por el hecho de llevar cubierta la cabeza o se considere poco higiénico.
- Falta de análisis previo a la implantación. La instalación de un sistema de este tipo, requiere de un análisis previo muy exhaustivo que determine la idoneidad o no del mismo. Por ejemplo, un control de presencia por reconocimiento del iris, puede ser muy costoso de implantar. Sin embargo, un control con tarjetas magnéticas, puede ser igual de eficaz y más económico.
Como hemos visto, la instalación de un sistema de control biométrico es más complejo que la instalación de un sensor y su conexión a la red para el control de los datos. Es preciso un análisis que determine si es el momento adecuado para su instalación y si los riesgos que asumimos con esta instalación son asumibles y, sobretodo, si se garantizan los derechos de los usuarios.