La guía “dondedijedigodigodiego” de la AEPD.
La “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” de noviembre de 2023 deriva en un tsunami sobre la materia.
CAMBIO DE CRITERIO RADICAL 2021-2023
La guía de referencia supone un cambio de 180º en el criterio que la propia AEPD había mantenido en su propio documento de mayo de 2021, la guía “La Protección de Datos en las Relaciones Laborales”, en la que se abordaba en el apartado “Los datos biométricos” del capítulo 4.6 el empleo de biometría en la implementación de los tratamientos de registro de presencia. En el texto se interpretaba la autenticación biométrica “fuera de las categorías especiales de datos”.
Con esa premisa, avalada por la Autoridad de Control (AEPD), múltiples empresas y Administraciones Públicas (AAPP) invirtieron sustanciales sumas de dinero, privado y público, en la implementación de sistemas biométricos tras una Evaluación de Impacto sobre Protección de Datos (EIPD) que determinase la aceptabilidad del sistema tras su securización técnica y organizativa, a través de medidas (basadas en el ENS en las AAPP) adecuadas, sin olvidar, como ya escribí en la primera parte de este artículo, que el “almacenamiento biométrico” se limita a una secuencia alfanumérica derivada de un algoritmo de hash no reversible y nunca se almacenan las propias características biométricas de la persona.
La guía de noviembre de 2023 reconoce, sin rubor alguno:
“Sin embargo, esta interpretación ha sido superada por las Directrices antes citadas, por lo que la interpretación de esta AEPD ha de adaptarse a las Directrices del CEPD mencionadas de 26 de abril de 2023”
Es curioso el eufemismo “esta interpretación ha sido superada”, dado que, desde mayo de 2021 a abril de 2023 no han cambiado los marcos normativos referenciales de dicha “interpretación” y, por ende, el lugar de “superación” debería calificarse un cambio de criterio tan grave en contenido y consecuencias como una significativa inconsistencia que está generando graves perjuicios a entidades públicas y privadas.
Por otra parte, la guía de noviembre de 2023 ha sido publicada sin aviso ni consenso alguno, hecho que, por sí mismo, habla poco en favor de la pretendida “superación”.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Debe estar conectado para enviar un comentario.