En la protecció de dades, les contrasenyes biomètriques són les preferides per la joventut

Què són les dades biomètriques?

El RGPD defineix les dades biomètriques com:

• Les dades personals obtingudes a partir d’un tractament tècnic específic,
• relatius a les característiques físiques, fisiològiques o conductuals d’una persona física
• que permetin o confirmin la identificació única d’aquesta persona, com imatges facials o dades dactiloscòpiques.

Les contrasenyes biomètriques, com totes, tenen avantatges i desavantatges a tenir en compte:

Avantatges:

• Més seguretat:

Són més difícils de falsificar o copiar en ser un tret físic de l’interessat (la retina de l’ull, l’empremta dactilar, la forma d’ la cara, la veu …)

• Més comoditat:

No s’ha de portar a sobre o recordar. El fet que la contrasenya sigui la pròpia persona, fa impossible perdre-la, i no calen mesures de seguretat al respecte.

• Menor cost de manteniment:

Un cop implantat el sistema, no és molt costós mantenir-la. No comporta les despeses relatives al robatori o pèrdua de contrasenya.

• Estableix responsabilitats:

La contrasenya biomètrica és única i intransferible. És necessària la presència física d’una persona per utilitzar-la. És més fàcil la documentació i el rastreig de la persona quan utilitza el sistema i es redueix la possibilitat d’ús indegut i frau.

 Desavantatges:

• És un sistema de contrasenya més invasiu:

L’empresa que emmagatzema les contrasenyes biomètriques té accés a les dades personals físiques d’una persona.  Aquestes dades, en principi, acompanyen a la persona tota la vida, per tant, és molt important la seva seguretat.

En conseqüència, si hagués una bretxa de seguretat a l’empresa, altres persones que no fossin l’interessat tindrien accés a les dades físiques d’aquest. Com  que aquestes dades són molt més valuoses que una contrasenya, es podrien utilitzar per a altres fins il·lícits a més de l’accés no autoritzat al dispositiu protegit i a les seves dades.

• És un tipus de contrasenya que no es pot canviar:

Si algú aconsegueix tenir una còpia de la contrasenya biomètrica no es pot fer res per canviar-la. S’haurà d’utilitzar una contrasenya alfanumèrica o, en cas d’utilitzar l’empremta digital, canviar de dit.

• És un sistema que requereix d’un maquinària específica per funcionar:

Si bé alguns sistemes d’autenticació biomètrics com el lector d’empremtes tenen una taxa de fallada baixa, altres, com el de reconeixement facial, són més problemàtics, ja que, si el sistema no és prou avançat, pot ser enganyat fàcilment amb, per exemple, una foto.

Les dades biomètriques en el RGPD:

Prèviament, amb la Directiva 95/46/EC, les dades biomètriques es consideraven merament identificatives. Per tant, només requerien unes mesures de seguretat bàsiques equivalents a les d’una contrasenya alfanumèrica comú.

En l’actualitat, tenint en compte els riscos esmentats anteriorment, el legislador europeu ha considerat les dades biomètriques com a dades especialment protegides.

És en aquesta categoria de dades especialment protegides com les inclou el RGPD.

Excepcions a la consideració de dades especialment protegides:

En ser considerades dades especialment protegides, estarà prohibit el seu tractament, excepte en els següents casos:

1. Quan l’interessat va donar el seu consentiment explícit amb un o més dels fins especificats.
2. El tractament es fa a dades personals que l’interessat ha fet manifestament públics.
3. El tractament és efectuat per una fundació, una associació o qualsevol altre organisme sense ànim de lucre, sempre que sigui:
   • en l’àmbit de les seves activitats legítimes
   • amb les degudes garanties, amb finalitat política, filosòfica, religiosa o sindical.
   • el tractament s’ha de referir, exclusivament, als membres actuals o antics d’aquests organismes, o a persones que mantinguin contactes regulars amb ells en relació amb els seus fins i
   • les dades personals no s’han de comunicar fora d’ells sense el consentiment dels interessats.
4. Si el tractament és necessari per:
   • En l’àmbit del Dret laboral i de la seguretat i protecció social: pel compliment d’obligacions i l’exercici de drets específics del responsable del tractament o de l’interessat
   • Si l’interessat no està capacitat, física o jurídicament, per donar el seu consentiment: per protegir interessos vitals de l’interessat o d’una altra persona física.
   • per a la formulació, l’exercici o la defensa de reclamacions o quan els tribunals actuïn en exercici de la seva funció judicial.
   •  per raons d’un interès públic essencial.
   • per  a fins de medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d’assistència o tractament de tipus sanitari o social, o gestió dels sistemes i serveis d’assistència sanitària i social.
   • per raons d’interès públic en l’àmbit de la salut pública, com la protecció davant amenaces transfrontereres greus per a la salut, o també per garantir elevats nivells de qualitat i de seguretat de l’assistència sanitària i dels medicaments o productes sanitaris.
   • per fins d’investigació científica o històrica o fins estadístics amb fins d’arxiu en interès públic.

Finalment, considerem important esmentar que les empreses que realitzin un tractament massiu de dades especialment protegides, han de realitzar una avaluació d’impacte.

Campos Catafal porta assessorant i representant a emprenedors, autònoms i empreses des de 1983. Recordeu que el present article és informatiu i no substitueix l’assessorament legal d’un advocat. Si vol el nostre assessorament professional sobre aquest tema, contacti amb nosaltres