Desde la sección Estatal de CGT en Atos IT
enviamos un correo a RRHH:
En relación con la solitud del registro
de huella dactilar que se le está haciendo a la plantilla consideramos que la
información proporcionada es insuficiente, por ello solicitamos aclaren las
siguientes cuestiones:
¿Qué
datos va a manejar/recoger el sistema de Huella dactilar?¿Qué
pasa si algún trabajador/ra no da su consentimiento?¿Qué
recursos hay para adecuar estos principios personales y privados de cada uno
sobre temas como distribuir sus datos biométricos sin estar de acuerdo?
¿Para qué se van a utilizar
esos datos?
¿Por dónde van a viajar los
datos recogidos de la huella (redes/comunicaciones)?
¿Qué datos se graban, dónde (servidores) se grabarán los datos, quiénes y qué empresas tendrán acceso a esos datos?¿Dónde están esos servidores ubicados, quiénes y qué empresas tendrán acceso a esos servidores?
¿Qué medidas de seguridad se van a tomar para proteger esa información? Desde el momento de la toma de la huella para su registro (grabación) y en el proceso de identificación (verificación de la misma).
¿Van a pedir autorización para el uso de la huella a la plantilla individualmente?
¿Qué alternativas tienen si la persona no quiere proporcionar su huella o revoca su autorización?
¿Qué alternativas tienen si el sistema no detecta/identifica correctamente la huella de una persona?
¿Van a pedir la huella a las visitas que accedan al centro?
¿Qué datos se graban, dónde (servidores) se grabarán los datos, quiénes y qué empresas tendrán acceso a esos datos?¿Dónde están esos servidores ubicados, quiénes y qué empresas tendrán acceso a esos servidores?
¿Qué medidas de seguridad se van a tomar para proteger esa información? Desde el momento de la toma de la huella para su registro (grabación) y en el proceso de identificación (verificación de la misma).
¿Van a pedir autorización para el uso de la huella a la plantilla individualmente?
¿Qué alternativas tienen si la persona no quiere proporcionar su huella o revoca su autorización?
¿Qué alternativas tienen si el sistema no detecta/identifica correctamente la huella de una persona?
¿Van a pedir la huella a las visitas que accedan al centro?
Recibimos la respuesta con lo siguiente:
El sistema no almacenará ningún dato biométrico de ninguna
persona usuaria.
El sistema al recoger la huella por primera vez, crea
un template/HASH mediante un algoritmo y eso es lo que se almacena en la base
de datos alojada en nuestro servidor con todas las medidas de seguridad
pertinentes. A partir de dicho template/HASH no es posible reconstruir la
huella dactilar de ninguna persona, ni ningún otro dato biométrico.
En relación a la consulta: ¿Qué pasa si no doy mi
consentimiento? Hay posibilidad de hacer constar que por obligación tengo que
dejar mis datos biométricos pero que no estoy conforme, es decir poder poner
“No conforme” en un documento.
La actualización de los sistemas de control de acceso a las
instalaciones de Atos mediante el sistema, está basado en un propósito legítimo
por parte de la Empresa y que encuentra cabida en la Legislación en materia de
Protección de Datos (RGPD) y en el Estatuto de los Trabajadores.
En relación a la consulta: ¿Qué recursos hay para
adecuar estos principios personales y privados de cada uno sobre temas como
distribuir sus datos biométricos sin estar de acuerdo?
Nos remitimos a la respuesta anterior.
En relación a la consulta: ¿Podemos los
trabajadores tener toda esta información (técnica y legal), y no un documento
genérico, vacío de contenido realmente útil que no da respuesta ni explicación
sobre todo este proceso?
Os indicamos la web pública de la marca de los lectores de
huella, Suprema, en esta página encontrareis información y la documentación
técnica, los documentos están en la pestaña “Download” están todos los enlaces
a la documentación técnica de los terminales.
Veréis que hay modelos, l2 y n2, aclarar que se trata del
mismo modelo, pero solo los diferencia la capacidad de usuarios.
Indicar asimismo que, Suprema, marca de los lectores, es el
hardware, y su software asociado es el de Dorlet, que está instalado en nuestro
servidor.
En relación a la consulta: Aun no se sabe
exactamente toda la información, donde se almacena los datos (lugar y entorno,
dirección, que data center, que empresas están implicadas, quien podrá acceder
a esta información biométrica, derecho a cancelación y al olvido,…), medidas
técnicas y de seguridad bien descritas y transparentes, nombres y apellidos de
los responsable de estos datos,…
Respecto al almacenamiento de los datos, los mismos están en
los servidores de Atos y solo Atos tendrá acceso a ellos, en ningún caso el
proveedor tiene acceso a ellos en remoto.
En cuanto a las medidas de seguridad, hemos podido comprobar
que el proveedor tiene su propio sistema de gestión de datos de personas y que
cumplen con la normativa en esta materia.
En relación a la consulta: ¿Dónde se calcula el
HASH?
Una cosa es que, al momento de registrar la huella, el
propio dispositivo de adquisición de la firma de la huella calcula
efectivamente el HASH en el propio dispositivo y solamente se envía el HASH a
partir de este dispositivo y que realmente no se transmite una imagen o
información biométrica no codificada desde este dispositivo que sea en una
maquina local (¿un PC en la recepción o en red local?) o remota, almacenando
esta información sin codificar, y la otra que esta información no codificada se
envía en algún lugar o servidor remoto y que calcula el HASH a partir del
escaneado de la huella por un proceso remoto (en un PC local o maquina remota),
lo que me hace pensar que esta imagen e información sin codificar ya está
“viajando” por el cable del dispositivo hasta una maquina o por la red y nada
asegura que este dato sin codificar de destruirá y solamente quedara el HASH.
Indicar que, como ya se ha comentado, la huella no se
almacena, son los propios lectores los que calculan el template/HASH y es solo
este templete (código binario) el que se almacena en el dispositivo. Por tanto
no se registra, envía o almacena ninguna imagen de la huella.
Al no existir ninguna imagen de la huella no existe ningún proceso remoto o local en el que viaje o se envíe alguna imagen o información sin codificar. Asimismo nos remitimos al mail de fecha de 17 de julio a toda la plantilla comunicando este proceso.
No hay comentarios:
Publicar un comentario