Sobre la legalitat de fitxar amb empremta dactilar
14 de març de 2019 | 3 minuts de lectura

Sobre la legalitat de fitxar amb empremta dactilar

S’ha escrit molt sobre de la legalitat d’utilitzar les empremtes dactilars per dur el control horari dels empleats. Després de més de 15 anys fabricant rellotges de fitxar amb lectors d’empremta dactilar, encara avui a ImesD ens arriben consultes de clients que tenen dubtes sobre els efectes legals de fitxar mitjançant aquest sistema biomètric. La problemàtica gira en torn a en quina mesura la Llei Orgànica de Protecció de Dades (LOPD) (ara, la GDPR) hauria d’aplicar-se al tractament de les empremtes dactilars dels empleats, ja que aquestes es consideren “dada personal” pel fet que permet la identificació d’un individu. Així mateix, l’Agència Espanyola de Protecció de Dades (AEPD) defineix el concepte de dada biomètrica com “aquells aspectes físics que, mitjançant una anàlisi tècnica, permeten distingir les singularitats que concorren respecte a aquests aspectes i que, resultant que és impossible la coincidència de tals aspectes en dos individus, un cop processats, permeten servir per identificar l’individu en qüestió. Així es fan servir per a tals finalitats empremtes digitals, l’iris de l’ull, la veu, etc…”.

A priori, doncs, sembla evident que l’ús d’un sistema de control horari amb lectors biomètrics - ja no només d’empremtes, sinó facial, d’iris, etc…- hauria d’estar regit per allò disposat en la llei. No obstant, la definició de dada biomètrica establerta per la AEPD no diu res sobre les dades biomètriques estadístiques, és a dir, aquelles que no són reproduccions exactes de les dades biomètriques reals sinó resums de les mateixes. Per exemple, la fotografia del rostre d’una persona és una dada personal, ja que pot emprar-se per identificar-la de manera inequívoca, però una descripció breu del seu aspecte, no ho és. A més, a partir d’una descripció breu és impossible reconstruir la imatge real de dita persona.

Els sistemes biomètrics utilitzats en els productes d’ImesD (d’empremtes dactilars o de reconeixement facial) no fan servir imatges d’empremtes o de rostres, sinó descripcions d’aquests. La figura següent mostra una exemple d’això amb dues empremtes dactilars de pesones diferents. Quan s’enregistra una persona en un rellotge de fitxar, el que es realitza és la detecció de certes **característiques **del dibuix de l’empremta, conegudes com minúcies, i que poden ser de diversos tipus: bifurcacions, terminacions, bucles, etc…

A la base de dades del sistema no s’emmagatzema la imatge original de l’empremta sinó un patró que conté la posició i tipus de les minúcies. En la imatge d’exemple es mostren els patrons d’algunes minúcies detectades en cada empremta. S’observa, en primer lloc, que és impossible reconstruir el dibuix original de les empremtes a partir de les minúcies; i en segon lloc, que dues persones podrien arribar a tenir el mateix patró, tot i que la probabilitat és baixa. En el cas del reconeixement facial el procediment és similar, tan sols que les minúcies són d’un altre tipus (posició i mides de diversos elements d’un rostre).

El fet de treballar amb patrons de minúcies en lloc de fer-ho amb les imatges originals de les empremtes, fa que els nostres rellotges de fitxar biomètrics no entrin en conflicte amb la llei, ja que la informació extreta permet identificar persones amb cert marge d’error, no de manera inequívoca. No obstant aquest marge d’error és el suficientment petit com per a que la identificació d’empleats es realitzi correctament en un entorn com un centre de treball, en què el nombre de persones és reduït. Per tant, els empleats no han de témer el fet que s’implanti un sistema de control horari ImesD en la seva empresa, ja que les dades recollides sobre les seves empremtes no poden emprar-se, per la seva naturalesa, com a dada personal. Pero a més, aquestes dades estan codificades en un format privat, no estàndard, cosa que fa impossible la seva utilització fora de l’àmbit dels nostres  sistemes de control horari.