Cómo cumplir con las regulaciones de datos biométricos

La tecnología de reconocimiento facial basada en IA es una herramienta cada vez más popular para las organizaciones que buscan optimizar los controles de acceso y mejorar la seguridad. Pero como descubrió recientemente Serco Leisure, los reguladores de protección de datos están seleccionando tales implementaciones para someterlas a un mayor escrutinio. Las evaluaciones de riesgos de privacidad y otras mejores prácticas se están volviendo rápidamente indispensables para garantizar que las implementaciones se ajusten a la ley.

Face / Off

Los reguladores de la Oficina del Comisionado de Información (ICO) penalizaron a Serco Leisure por no ofrecer una alternativa a escanear los rostros y las huellas dactilares de los empleados para fichar la entrada y salida del trabajo. En su lugar, se podrían haber utilizado fácilmente medios menos intrusivos, como tarjetas de identificación o llaveros, dictaminó la ICO.

Más de 2,000 empleados de 38 instalaciones de ocio se vieron obligados a presentar datos biométricos para controles de asistencia. Serco Leisure no logró demostrar que su uso de tecnologías biométricas fuera “necesario y proporcionado” para registrar la asistencia de los trabajadores.

"Los datos biométricos son totalmente exclusivos de una persona, por lo que los riesgos de daño en caso de imprecisiones o una violación de la seguridad son mucho mayores: no se puede restablecer la cara o la huella digital de alguien como se puede restablecer una contraseña", John Edwards, Comisionado de Información del Reino Unido , dijo en un . "Serco Leisure no consideró plenamente los riesgos antes de introducir la tecnología biométrica para controlar la asistencia del personal, priorizando los intereses comerciales sobre la privacidad de sus empleados".

La ICO culpó además a Serco por no proporcionar a los trabajadores incómodos con los controles biométricos ningún mecanismo para optar por no participar en el sistema. Se ordenó a Serco Leisure, Serco Jersey y siete fideicomisos comunitarios asociados que dejaran de procesar datos biométricos para monitorear la asistencia de los empleados al trabajo. Además, se ordenó a las empresas que destruyeran todos los datos biométricos que no estén legalmente obligados a conservar.

Las sanciones coincidieron con la publicación por parte del ICO de nueva orientación sobre cómo las organizaciones pueden procesar datos biométricos legalmente.

Control de Acceso

La tecnología de reconocimiento facial está ganando terreno en la empresa para controlar el acceso a ubicaciones seguras y autenticar a los usuarios a través de servicios de verificación de identidad. entre otras cosas. Pero los datos biométricos, a diferencia de las contraseñas, están intrínsecamente ligados a un individuo, por lo que el impacto de su exposición en caso de una violación de datos puede ser más severo y duradero.

Reconociendo la mayor protección de la privacidad que merece, la UE Reglamento General de Protección de Datos (GDPR) establece reglas más estrictas que rigen el procesamiento de datos biométricos, incluida la limitación del propósito como salvaguarda contra la evasión de la misión, la transparencia y los requisitos de consentimiento.

Obstáculos de implementación

Según los expertos, la implementación de tecnologías biométricas en el lugar de trabajo puede ser compatible con los requisitos reglamentarios, pero sólo si se introducen después de una evaluación integral del impacto de la protección de datos (DPIA).

Jon Bartley, socio y jefe del Grupo Asesor de Datos de la firma de abogados internacional RPC, dice a ISMS.online que es "crítico tener un proceso claro para la incorporación de tecnologías" que involucran el uso de datos biométricos, como huellas dactilares o escaneos de iris.

"Desde la perspectiva de la ley de protección de datos, las empresas deben ser conscientes de los obstáculos que enfrenta la implementación", explica. "Por ejemplo, dependiendo del caso de uso de la tecnología, puede ser difícil establecer una base legal para procesar los datos biométricos a menos que a las personas afectadas se les dé una opción real entre aceptar la tecnología o seleccionar una alternativa".

Dado que pueden utilizarse para identificar de forma única a personas, los datos biométricos entran en una categoría especial y, por tanto, están sujetos a normas de procesamiento de datos más estrictas.

"Estos datos suponen un riesgo mayor y se debe cumplir una condición adicional para legitimar el procesamiento, lo que puede resultar difícil debido al número y alcance limitados de dichas condiciones", afirma Bartley.

La IA aumenta el riesgo

Sarah Pearce, socia de los abogados Hunton Andrews Kurth y experta en privacidad de datos, afirma que el fallo Serco Leisure de la ICO muestra por qué las empresas deberían consultar a profesionales legales sobre el cumplimiento normativo. Aparte de la ley de protección de datos, el reconocimiento facial respaldado por la tecnología de inteligencia artificial genera requisitos para cumplir con un creciente cuerpo de legislación que rige este espacio tecnológico emergente, le dice a ISMS.online.

El recientemente ratificado Ley de IA de la UE establece un marco legal basado en el riesgo para la gobernanza de la IA que caracteriza el uso de la IA junto con tecnologías de reconocimiento facial como de “alto riesgo”.

Esto significaría que, para cumplir plenamente con esa ley, las empresas necesitarían “asignar supervisión humana al sistema de IA, realizar una evaluación de impacto en los derechos fundamentales (no muy diferente a una EIPD según el RGPD) e informar a los empleados y comité de empresa cuando corresponda”, explica.

La designación de alto riesgo se aplica tanto a las implementaciones de tecnologías biométricas orientadas al cliente como a las centradas en los empleados junto con la IA.

Bartley de RPC agrega: "El uso de tecnología de reconocimiento facial para rastrear a los empleados puede clasificarse como un uso de IA de alto riesgo según la Ley de IA, lo que genera diversas obligaciones como la supervisión humana, el seguimiento, el mantenimiento de registros y la consulta a los empleados".

Beneficios operacionales

Ashley Avery, socia del bufete de abogados británico Foot Anstey, dice a ISMS.online que ha registrado un "aumento significativo" en el volumen de consultas de clientes que buscan implementar tecnología biométrica. Estas organizaciones ven los beneficios comerciales de esto por motivos de seguridad o como parte de una oferta para el cliente, pero "desconfían" de los riesgos para la privacidad de los datos, explica Avery.

"La orientación emitida por la ICO es útil ya que detalla los puntos que deben considerarse antes de adoptar dicha tecnología y cómo las empresas pueden demostrar el cumplimiento de la legislación sobre privacidad de datos", añade.

Marcos y estándares, como ISO 27001 – puede ayudar a las empresas a posicionarse para lograr el cumplimiento al implementar tecnologías de reconocimiento facial. ISO 27001 ofrece un enfoque sistemático para gestionar y proteger información confidencial, incluidos los datos manejados por tecnologías de reconocimiento facial.

Las orientaciones de la OIC ponen especial énfasis en el requisito de realizar EIPD.

"Según nuestra experiencia, las EIPD son una herramienta valiosa para identificar riesgos relacionados con la privacidad, lo que significa que las empresas pueden implementar medidas para minimizar dichos riesgos desde el principio; esto es crucial cuando se procesan datos tan sensibles", concluye Avery.

Las empresas que deseen implementar tecnologías biométricas deben considerar lo siguiente:

⦁ Considere opciones de autenticación o control de acceso menos intrusivas
⦁ Siga la nueva guía biométrica de la ICO
⦁ Realizar una EIPD rigurosa
⦁ Consultar con las partes interesadas (clientes, socios y empleados) antes de la implementación.
⦁ Proporcionar información clara y transparente sobre cómo se utilizarán los datos biométricos.
⦁ Implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad e integridad de los datos biométricos, utilizando estándares como ISO 27001 cuando corresponda.