SICUR Cyber

Biometría con fines de seguridad y guía de la AEPD sobre tratamientos de control de presencia: el consenso, primordial

De izquierda a derecha: Alberto Tovar (CEUSS), Iván Ballesteros (ASIS), Íñigo Ugalde (AES), Carlos Vázquez (Foro Efitec) y César Álvarez (Fundación Borredá)

De izq. a dcha.: Alberto Tovar (CEUSS), Iván Ballesteros (ASIS), Íñigo Ugalde (AES), Carlos Vázquez (Foro Efitec) y César Álvarez (Fundación Borredá).

Por Bernardo Valadés.

En noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos. Con dicho documento se fijaban los criterios de uso de la biometría para el control de acceso, tanto con fines laborales como no laborales, y se establecían las medidas a tener en cuenta para que el tratamiento de datos personales a través de dicha tecnología se ajustara al Reglamento General de Protección de Datos (RGPD).

Para la AEPD, la utilización de datos biométricos, ya sea para identificar o autenticar, es un tratamiento de alto riesgo que incluye categorías especiales de datos. Una interpretación que ha generado controversia, inseguridad jurídica y, según el sector de la seguridad, paralización de proyectos y perjuicio económico.

Más de dos años después de su aparición, la guía fue protagonista en SICUR Cyber, espacio organizado por Seguritecnia y Red Seguridad, con la colaboración de la Fundación Borredá, en el marco del Salón Internacional de la Seguridad (SICUR) de Madrid. Concretamente, se debatió sobre ella en una mesa redonda moderada por César Álvarez, coordinador de proyectos de la Fundación Borredá, en la que se pudieron conocer las reacciones que el texto de la AEPD ha suscitado en profesionales, empresas y usuarios de seguridad.

Iván Ballesteros (ASIS): “En lo referente a la biometría, tenemos que generar un consenso entre los conceptos jurídico y técnico”

El primer ponente en analizar el impacto de la guía fue Iván Ballesteros, representante de ASIS Capítulo España, quien hizo referencia al desconcierto inicial que provocó el documento en el sector. “La guía nos obligaba a una revisión profunda. Y los profesionales nos preguntamos: ¿qué hacemos?, ¿paramos o seguimos?, ¿cómo afecta esto a nuestros riesgos?”, explicó. Según Ballesteros, la publicación generó una situación de “caos” marcada por la incertidumbre temporal, ya que el texto de la AEPD no especificaba plazos de actuación.

Ante esta situación, se puso en marcha un grupo de trabajo. “Teníamos dudas de interpretación y preguntamos qué plazos había para implementar lo dispuesto en el texto, pero no obtuvimos respuesta por parte de la AEPD”, señaló.

Finalmente, Ballesteros destacó que existe una brecha entre el marco legal y la realidad operativa. Mientras que en el RGPD sólo figura una definición de datos biométricos, el ponente recordó que hay numerosas referencias en normas UNE, ISO y ANSI. “Tenemos que generar un consenso entre los conceptos jurídico y técnico”, propuso, al tiempo que defendió el uso de la biometría para fines de seguridad.

Íñigo Ugalde (AES): “El sector privado debe unirse y trabajar en un documento conjunto para la Administración”

Por su parte, Íñigo Ugalde, presidente de la Asociación Española de empresas de Seguridad (AES), centró su intervención en la incertidumbre que la guía generó en el tejido industrial. “Cuando se publicó el documento, nuestra primera pregunta fue qué debíamos hacer, ya que nosotros fabricamos y ofrecemos soluciones de seguridad”, explicó. Y recordó que, al tratarse de una guía y no de una ley, el sector se encontró en una situación compleja que finalmente derivó en la interposición de un recurso contencioso-administrativo ante la falta de respuesta por parte de la AEPD.

El impacto de este nuevo marco se tradujo en pérdidas económicas. Según el presidente de AES, la publicación supuso la parálisis de diversos proyectos, afectando directamente a la competitividad de las empresas. Para hacer frente a ese escenario, la asociación activó grupos de trabajo con el fin de generar ideas y establecer canales de comunicación con la autoridad de control.

“Llegamos a hablar con la AEPD, pero percibimos que la Administración no siempre se deja asesorar y que existe un desconocimiento de cómo se aplica la tecnología a la seguridad”, lamentó Íñigo Ugalde. Como vía de solución, hizo un llamamiento a la cohesión de la industria: “El sector privado debe unirse, trabajar en un documento conjunto y trasladárselo a la Administración”.

Carlos Vázquez (Foro Efitec): “Los DPO del sector financiero paralizaron los proyectos de biometría desde el primer momento”

En una línea similar, Carlos Vázquez, representante de Foro Efitec, aportó la visión de las entidades financieras. Sobre la guía, observó que “no es una normativa en sí, sino una interpretación de la AEPD que nos sirve para prever bajo qué criterios se podrían imponer sanciones”, advirtiendo que la implementación del control de presencia es lo que añade mayor complejidad.

El efecto en la operativa bancaria fue inmediato. Desde el minuto uno, “los Delegados de Protección de Datos (DPO) de las entidades financieras optaron por detener todos los proyectos basados en tecnologías biométricas. Y ante esa situación, se impulsó la creación de grupos de trabajo con el objetivo de establecer un diálogo con la Administración. A nivel asociativo, era fundamental que trabajáramos de forma conjunta”, destacó.

A pesar de las dificultades, el representante de Foro Efitec vinculó el uso de los sistemas biométricos con la protección de las personas, indicando que “cuando damos de alta a una persona mediante biometría es para que haya seguridad”. Y concluyó mostrándose optimista y confiando en que se logre un marco regulatorio que permita avanzar sin trabas.

Alberto Tovar (CEUSS): “La biometría no es un capricho, es necesaria para acceder a ciertas áreas”

En cuanto a Alberto Tovar, puso el foco en el usuario final, el eslabón que, a su juicio, ha sido el más ignorado. “En noviembre de 2023 había muchos sistemas de biometría implementados y la guía fue un jarro de agua fría”, lamentó el presidente de la Confederación Empresarial de Usuarios de Seguridad y Servicios (CEUSS). Ante esta situación, se impulsaron grupos de trabajo para buscar soluciones, aunque admitió que, por el momento, afrontan el escenario con pesimismo al no ver una salida clara.

Según Tovar, “la biometría no es un capricho; es necesaria para acceder a ciertas áreas. Que me expliquen cómo puedo autenticar a miles de personas de otra manera”, sentenció, destacando su importancia en instalaciones industriales y sedes corporativas. En este sentido, hizo hincapié en que los departamentos de Seguridad tienen la responsabilidad de asegurar sus instalaciones, calificando la situación actual como “un problema de seguridad nacional”.

Por último, el ponente subrayó la disposición de CEUSS para colaborar con la Administración, aunque señaló la falta de comunicación como el principal obstáculo para avanzar. “El gran problema es que hay un ambiente donde no se dialoga”, concluyó Tovar, insistiendo en que la biometría es una pieza clave en la operativa diaria de las grandes empresas que no puede sustituirse fácilmente sin comprometer la seguridad.