La AEPD fija los criterios de uso de sistemas biométricos
La Agencia Española de Protección de Datos – AEPD – ha publicado la ‘Guía Tratamientos de control de presencia mediante sistemas biométricos’, que fija los criterios del uso de la biometría para el control de acceso, tanto con fines laborales como no laborales. De este modo, el organismo estatal establece las medidas que deben tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD), entre otras normativas. «Los sistemas biométricos y el tratamiento de los datos que se pueden obtener a partir de ellos están evolucionando muy rápidamente. Los nuevos sistemas aumentan el detalle de la información recogida e incluso permiten la posibilidad de recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello. A ello se suma el desarrollo de la inteligencia artificial, que puede utilizarse para inferir información adicional sobre las personas», ha señalado. En este sentido, la Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como «un tratamiento de alto riesgo que incluye categorías especiales de datos». «Tal y como establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime», ha subrayado. Lea también: El jefe de WhatsApp: “Lo que Bruselas propone contra la pornografía infantil es como poner una cámara en cada casa” En el caso de registro de jornada y control de acceso con fines laborales, ha detallado que si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. Asimismo, la Agencia especifica que, en el marco de estos tratamientos, «el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo». Respecto al control de accesos fuera del ámbito laboral, la Agencia sostiene que «la ejecución de un contrato no es una circunstancia que levante la prohibición, ya que no forma parte de las circunstancias enumeradas en el artículo 9.2 del RGPD». Por su parte, según ha añadido, «el consentimiento tampoco lo podrá ser, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b)». La Guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar. Obligada una evaluación de impacto a los datos personales previo a la captura de datos biométricos, según la AEPD En todo caso, la Guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento. Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo; implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física; implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito son algunas medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD. También se debe usar el cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica; utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada; y suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento. Implementar la protección de datos desde el diseño y aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos son otras medidas a desarrollar. FUENTE: Europa Press. »La AEPD fija los criterios de uso de sistemas biométricos» Elderecho.com. 23/11/2023. (https://elderecho.com/la-aepd-fija-los-criterios-de-uso-de-sistemas-biometricos).
X (Twitter) recopilará tus datos biométricos: las nuevas reglas de Elon Musk son una afrenta a la protección de datos personales
X, la red social de Elon Musk antes conocida como Twitter, ha realizado una actualización en sus políticas de privacidad, que comenzarán a aplicarse a partir del 29 de septiembre. Como parte de sus novedades, ahora menciona nuevos datos que recopila de sus usuarios, destacando el de su información biométrica, antecedentes académicos e incluso historial laboral. En sus nuevas políticas, se menciona que «con fines de seguridad e identificación«, la compañía puede con el consentimiento del usuario recopilar esta información. Eso sí, no se especifica de manera clara si los datos biométricos abarcan rostros, huellas dactilares u otras características. Lea también: Expertos en ciberseguridad de Kaspersky comparten consejos cruciales para crear contraseñas y evitar estafas La nueva política de X no se queda allí, pues también indica que se puede obtener y utilizar otro tipo de información personal. Por ejemplo, la compañía también puede recopilar el historial laboral, educativo, preferencias laborales, habilidades, aptitudes, así como la actividad y participación en la búsqueda de empleo. Según la compañía, todos los datos servirán para recomendar a los usuarios «trabajos potenciales«, aunque también se podrá compartir la información de los perfiles con empleadores potenciales al momento de presentar la solicitud, ofreciendo así una función similar a la que tiene LinkedIn. De momento solamente para los usuarios que paguen la verificación De acuerdo con Bloomberg, la solicitud de datos biométricos se aplica por ahora únicamente a los usuarios premium, a quienes se les dará la opción de presentar una identificación gubernamental y una fotografía para contar con una capa adicional de verificación en sus perfiles. Esto permitirá que la información biométrica sea utilizada para fines comparativos. Según X esto también permitirá «ayudar a vincular» una cuenta de otra persona real mediante el procesamiento de su identificación emitida por el gobierno. Además, la compañía considera esta medida como un recurso suplementario para contrarrestar los intentos de suplantación de identidad, lo que en última instancia contribuirá a fortalecer la seguridad de la plataforma. Otra red social que también agregó la recopilación de datos biométricos fue TikTok, que en 2021 incluyó en sus políticas de privacidad el que podían obtener huellas faciales y de voz de sus usuarios en Estados Unidos. FUENTE: Hernández, Gonzalo. »X (Twitter) recopilará tus datos biométricos: las nuevas reglas de Elon Musk son una afrenta a la protección de datos personales» Xataka.com. 31/08/2023. (https://www.xataka.com.mx/aplicaciones/x-twitter-recopilara-tus-datos-biometricos-nuevas-reglas-elon-musk-afrenta-a-proteccion-datos-personales).
Europa se opone a la vigilancia en tiempo real y comenzara a regular los sistemas de IA
El Parlamento Europeo se opuso este miércoles a la vigilancia biométrica en tiempo real e impuso condiciones para los nuevos sistemas como ChatGPT, al aprobar la ley de inteligencia artificial (IA) que se está negociando en Bruselas para impulsar su desarrollo, limitando a su vez los posibles riesgos. Con 499 votos a favor, 28 en contra y 93 abstenciones, la Eurocámara fijó así su posición de cara a las negociaciones que empezarán hoy con la Comisión Europea y el Consejo de la UE para pactar el texto definitivo de la ley y que continuarán bajo la presidencia rotatoria que España asumirá el 1 de julio. Entre las demandas del Parlamento Europeo está la de prohibir la vigilancia biométrica en tiempo real en espacios públicos, en contra de lo que han defendido el Ejecutivo comunitario y los países de la UE, que apuestan por permitirla si la autoriza un juez, en casos muy específicos. En pleno debate sobre la necesidad de regular los sistemas que son capaces de generar texto y material audiovisual, el Parlamento quiere que sus desarrolladores demuestren que han reducido los riesgos que la tecnología pueda generar a la salud, a los derechos fundamentales y al sistema democrático. Los eurodiputados también quieren que los usuarios que utilicen esta tecnología para generar imágenes falsas (‘deep fakes’) especifiquen que el contenido se ha manipulado mediante inteligencia artificial. El Parlamento Europeo se opuso a la utilización de los sistemas de identificación biométrica en tiempo real en espacios públicos. Los eurodiputados, no obstante, sí abrieron la puerta a poderlos utilizar a posteriori, siempre con autorización judicial, para perseguir “delitos graves”. Europa se opone a la vigilancia en tiempo real y comenzara a regular los sistemas de IA La Eurocámara rechazó así la enmienda del Partido Popular Europeo, más laxa con la protección de los derechos fundamentales. El PPE se mostró a favor de poder utilizar estos sistemas, con permiso de un juez, para buscar a personas desaparecidas (incluidos los menores), para prevenir un atentado terrorista y para localizar a quienes hayan cometido un delito que acarree al menos tres años de prisión. La normativa califica de alto riesgo a toda una serie de sistemas de inteligencia artificial con usos muy específicos que solo se podrán introducir en el mercado si respetan los derechos fundamentales y valores de la UE. Por ejemplo, los que se puedan utilizar para influir en el resultado de unas elecciones, los que empleen las entidades financieras para evaluar la solvencia y establecer la calificación crediticia de una persona o los que emplee la policía de control de fronteras para controlar, vigilar o procesar datos para predicción de movimientos migratorios. En caso de que las negociaciones concluyesen este año, la norma no se empezaría a aplicar hasta 2026, por lo que Bruselas ha propuesto un pacto entre las grandes tecnológicas para que etiquetar de forma inmediata todo el contenido falso que se genere con inteligencia artificial. Tras un voto que la vicepresidenta de la Comisión Europea para la Era Digital, Margrethe Vestager, calificó de “histórico”, empezarán las negociaciones entre las tres instituciones europeas para pactar el texto definitivo de la ley. FUENTE: EFE. »Europa se opone a la vigilancia en tiempo real y comenzara a regular los sistemas de IA» Forbes.com.mx. 14/06/2023. (https://www.forbes.com.mx/europa-se-opone-a-la-vigilancia-en-tiempo-real-y-comenzara-a-regular-los-sistemas-ia/).
Primera Ley de Privacidad de la Información en Estados Unidos
La Ley de Privacidad de la Información Biométrica de Illinois o BIPA, por sus siglas en inglés, es una ley del estado de Illinois, aprobada en 2008, que regula la recopilación, almacenamiento, retención, salvaguarda, uso y destrucción de información e identificadores biométricos. Si los residentes que viven en el estado de Illinois consideran que su información biométrica ha sido compartida con empresas o terceros sin su consentimiento, la BIPA les permite llevar a cualquier parte aplicable a los tribunales y presentar una reclamación para recuperar pérdidas financieras y tasas legales o judiciales asociadas, así como recibir cualquier otra forma de alivio considerada por un tribunal de justicia en relación con la violación de la privacidad. Además, la BIPA fue también la base de un caso emblemático de 2019, Rosenbach contra Six Flags Entertainment Corp., que cambió la forma en la que el país percibe esta legislación. A pesar de todo esto, muchas personas pueden preguntarse qué es la información biométrica. ¿Qué es la información biométrica? La biometría se define como la medición y el análisis estadístico de las características físicas y de comportamiento de un individuo. En el contexto de la privacidad personal, la información biométrica o los identificadores pueden utilizarse para identificar, etiquetar o describir a las personas. Algunos ejemplos comunes de identificadores biométricos físicos incluyen el reconocimiento facial, las huellas dactilares, el ADN, el reconocimiento del iris, la geometría de la mano, las venas de la palma de la mano, el olor o el aroma y las características de la retina o del oído. Por otro lado, algunos ejemplos comunes de identificadores biométricos de comportamiento incluyen la firma, el análisis del modo de andar, el ritmo de escritura, los gestos, la pulsación de teclas, la voz y los perfiles de comportamiento. ¿Cómo se utiliza la información biométrica en el contexto empresarial y qué lineamientos establece esta nueva Ley de Privacidad de la Información? El uso de la información biométrica en el mundo de los negocios se ha generalizado en los últimos años, ya que muchas empresas e industrias, como la banca y la tecnología, han comenzado a hacer uso de características biométricas como el reconocimiento facial y de huellas dactilares. La información biométrica se utiliza en los negocios de las siguientes maneras: Gestión del tiempo: Empresas de todos los ámbitos e industrias han descubierto que los relojes de fichar biométricos, dispositivos que permiten a los empleados marcar su hora de entrada y salida a través de la huella dactilar u otra forma de identificador biométrico en lugar de un código pin o un número de identificación, son más rentables, garantizan un cumplimiento más preciso de las políticas de asistencia y ayudan a eliminar la pérdida de tiempo en el trabajo. Acceso de seguridad: Uno de los usos originales y más comunes de la información biométrica es el de garantizar la seguridad física a la entrada a una empresa o locación, así como asegurar artículos como ordenadores, dispositivos de almacenamiento portátiles como discos duros o unidades USB y accesorios informáticos como ratones y teclados mediante el uso de tecnología de reconocimiento facial, lectores de huellas dactilares y escáneres geométricos. Además, los escáneres de iris y retina también pueden utilizarse en empresas que requieran un alto nivel de seguridad. Otros usos Seguridad: La información biométrica puede utilizarse para crear un perfil de cada empleado contratado por una empresa o negocio. A través de este perfil, los empleadores pueden asegurarse de que sus empleados estén al día en materia de capacitación y certificaciones, difundir información crucial y emitir credenciales en una fracción del tiempo que se tardaría en hacerlo físicamente. Plan de salud: La información biométrica puede utilizarse para ayudar en el desarrollo e implementación de programas de bienestar. A través de la información biométrica los empleadores pueden evaluar los riesgos potenciales para la salud de los empleados, así como proporcionar incentivos con el fin de favorecer comportamientos que pudieran reducir dichos riesgos. Lea también: La Unión Europea y Estados Unidos alcanzan un principio de acuerdo para la transferencia de datos personales a nivel transatlántico. ¿Qué criterios deben seguir las empresas de Illinois al recopilar o utilizar información biométrica? En virtud de la BIPA, las empresas y negocios que recopilan información biométrica de los residentes del estado de Illinois están obligados a seguir el siguiente conjunto de normas: Retención y destrucción por escrito: Las entidades privadas en posesión de información biométrica deben desarrollar por escrito una política disponible públicamente en relación con el establecimiento de un calendario de retención de datos biométricos. Dicha política debe incluir además directrices para la destrucción permanente de la información biométrica. Autorización por escrito: La BIPA prohíbe a las entidades privadas recopilar cualquier información biométrica sin antes haber recibido por escrito el consentimiento informado del ciudadano a quien la información pertenece. Prohibición del lucro con la información biométrica: La BIPA prohíbe estrictamente a las entidades privadas en posesión de información biométrica vender, arrendar, comerciar o beneficiarse de otra manera de la información biométrica de los consumidores de Illinois. Además, prohíbe a dichas entidades eludir la restricción obteniendo el consentimiento de un individuo. Otros requisitos Restricción a la divulgación: En virtud de la BIPA, las entidades privadas en posesión de información biométrica no pueden “divulgar o difundir de otro modo” esta información a menos que obtengan el consentimiento de un individuo o que la divulgación de la información biométrica sea necesaria para un propósito específico establecido desde el momento de la recolección. Por ejemplo, cuando la información biométrica de un individuo es necesaria para completar una transacción financiera o para dar seguimiento a una orden o citación judicial. Requisitos de seguridad “razonables” específicos del sector: Las entidades privadas deben utilizar “normas de cuidado razonables” durante el procesamiento de la información biométrica. Sin embargo, la BIPA requiere que esta “razonabilidad” esté en consonancia con el nivel de cuidado específico de cada industria. Pero, en cualquier caso, el nivel de seguridad debe ser similar, si no más estricto, que el utilizado para otra información confidencial y sensible como
