jueves, 27 de abril de 2017

DATOS PERSONALES: AUTORIZACIÓN Y BIOMETRÍA EN LOS CENTROS LABORALES*



* Este artículo complementa un otro publicado en diciembre de 2014, relacionado a CELULARES, BIOMETRIA, DATOS PERSONALES Y REGISTROS, el mismo que se encuentra en este enlace: http://derecho-ntic.blogspot.fr/2014/12/celulares-biometria-datos-personales-y_93.html

Los dispositivos biométricos, son particularmente sensibles, y en principio, sujetos a un especialísimo control - pensamos - de la Autoridad Nacional de Protección de los Datos Personales, APDP, puesto que pueden identificar a una persona por sus características físicas, biológicas o comportamentales. 

Consecuentemente, estos dispositivos no deberían ser implementados sin autorización previa de la APDP, como es la norma en los países europeos; los mismos que se encuentran regulados por las Directivas N° 95/46/CE y 58/2002-/CE, y a pesar que el referente sobre el cual se inspira nuestra Ley N° 29733, Ley de Protección de Datos Personales y normas concordantes, es la Ley N° 15/1999 transpuesta por España, acorde con la Directiva N° 95/46/CE.

EL MARCO LEGISLATIVO

Las definiciones de la Ley N° 29733, y de su Reglamento N° 003-2013-JUS, en el Perú, sobre la protección de los datos personales, y en particular sobre los datos sensibles, reconocen explicita e implícitamente, la fragilidad  de los datos biométricos:

L-29733 Art. 2 Definiciones
5. Datos sensibles:
Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

R-29733 Art. 2 Definiciones
6. Datos sensibles:
Es aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad.

Así mismo, la Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales aprobada por R.D. N° 019-2013-JUS/DGPDP, reconoce entre las cinco categorías de tratamiento de datos personales, tres de ellas: pueden contener datos sensibles:

c)        Intermedio, corresponde a bancos de datos personales que:
·           Contienen la información de hasta mil (1000) personas.
·   Sirven para tratamiento de datos personales cuya finalidad se cumple en un plazo indeterminado o superior  a un (01) año.
·           Puede incluir datos sensibles.
·           Tiene corno titular a una persona natural o jurídica

d)       Complejo, corresponde a bancos de datos personales que:
·   Sirven para el tratamiento de datos personales cuya finalidad se cumple en un plazo indeterminado o superior a un (01) año.
·        Sirven para el tratamiento de datos personales que es realizado en  múltiples localizaciones (Oficinas o dependencias diferentes en la misma  ciudad o ciudades diferentes, servicios tercerizados  o similares).
·           Puede incluir datos sensibles.
·           Tiene corno titular a una persona jurídica o entidad pública.

e)        Crítico, corresponde la categoría de mayor nivel e incluye a bancos de datos personales que:
·         Sirven para el tratamiento de datos personales cuya finalidad  está respaldada por una norma legal.
·      Sirven para el tratamiento de datos cuya finalidad se cumple en un plazo  indeterminado o superior a un (01)  año.
·      Sirven para el tratamiento de datos personales que es realizado en múltiples localizaciones (Oficinas o dependencias diferentes en la misma ciudad o ciudades diferentes, servicios tercerizados o similares)
·         Puede incluir datos sensibles
·         Tiene como titular a una persona jurídica o entidad pública.

Estas categorías de tratamiento, se relacionan con el ítem 2.3.1. Medidas de Seguridad Técnicas - siempre según la Directiva - las cuales, son requeridas:

2.3.1.4. Cuando se utilicen mecanismos informáticos para el tratamiento de datos personales se debe proteger el banco de datos personales contra acceso lógico no autorizado mediante algún mecanismo de bloqueo lógico, limitando el acceso solo a los involucrados en el tratamiento de datos personales debidamente autorizados. Están comprendidas entre éstas, las categorías: Intermedio, Complejo y Crítico.  
Sin embargo, la sensibilidad reconocida a los datos biométricos no significa que los dispositivos de reconocimiento biométrico deban ser sometidos a la autorización previa de la APDP, tanto del tratamiento como del dispositivo, cualquiera que sea el procedimiento técnico a ser solicitado  (impresión digital, contorno o forma de la mano, fondo ocular,...).
Según el ejemplo europeo, correspondería a cada Organismo de los diferentes Poderes del Estado, solicitar la autorización previa a la APDP europea.  Excepto en tres casos de figura precisos, en función, de la característica biométrica utilizada.

·         Tramite simplificado para ciertos dispositivos biométricos

A fin de facilitar los procedimientos, algunos países de la Comisión Europea, particularmente Francia, definió un marco llamado de autorización única para ciertos dispositivos biométricos. El principio fue el siguiente: cuando un empleador, por ejemplo, desea implementar un dispositivo biométrico que cumpla con los requisitos definidos en ese contexto, puede beneficiar de un procedimiento simplificado. Sólo tiene que dirigir a la APDP una simple declaración de conformidad.

Este procedimiento de autorización única se aplica a los tres tipos de dispositivos basados ​​en el reconocimiento:
• El contorno de la mano para asegurar el control de acceso al comedor escolar, universitario;
• El contorno de la mano para asegurar el control de acceso al comedor del centro laboral;
• Impresión digital registrada exclusivamente sobre un soporte individual en poder de la persona en cuestión para controlar el acceso a los locales profesionales.
·         
      La información y derechos del interesado.

Las personas afectadas por el dispositivo biométrico deben ser informadas, según el L-Art. 18:

De su finalidad, en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quienes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.

Además, y de acuerdo con las leyes laborales y concordantes de la función pública  nacional, regional, comunal, organismos representativos de los trabajadores, deberían, en su caso, ser consultados e informados antes de la puesta en práctica de tales dispositivos.
·     
      El caso especial de los dispositivos basados ​​en el registro de huellas digitales en una base de datos
En una comunicación destinada a informar mejor a los empleados sobre sus derechos y obligaciones, y de permitir a las empresas y administraciones de formular las preguntas correctas concernientes a la protección de los datos e informaciones personales, es necesario recordar que la:

• La impresión digital es una biometría de "traza", de “rastro”. Cada persona deja rastros de sus impresiones digitales, más o menos fácilmente explotables en muchas circunstancias de la vida cotidiana (en un vaso, en la  manija de una puerta, etc.);

• Estas "huellas" o “rastros” pueden ser capturadas sin el conocimiento de las personas y ser usadas en particular para usurpar identidades, introducirse y divulgar datos, informaciones de los sistemas.

Por lo tanto, estos dispositivos sólo se justifican si se basan en una fuerte necesidad de seguridad y cumplen los cuatro requisitos siguientes, los mismos que corresponden a algunos de los principios básicos de las normas sobre la Protección de los Datos Personales:

La finalidad del dispositivo: ella debe ser limitada al controlar del acceso a un número limitado de personas a una zona bien determinada, lo que representa o contiene un desafío mayor más allá de los intereses estrictos de la organización, tales como la protección de la integridad física de las personas, de los bienes y de las instalaciones, incluyendo ciertas informaciones (por ejemplo, acceso a una planta nuclear, a una célula de producción de vacuna o sitios industriales de riesgos mayores);

La proporcionalidad: el sistema propuesto se adecua al propósito definido previamente, teniendo en cuenta los riesgos que ello comporta en la protección de los datos personales.

La seguridad: el dispositivo debe permitir a la par que una autenticación y/o una identificación fiable de las personas, una garantía de seguridad para evitar la usurpación, conocimiento y/o divulgación de los datos e informaciones de las personas y de las organizaciones;

La información de las personas afectadas: ella debe ser realizada en la óptica respeto a las normas relativas a la protección de los datos personales, pero también de las normas laborales.