viernes, 16 de agosto de 2019

Sobre la implantación de la Huella Dactilar


Desde la sección Estatal de CGT en Atos IT enviamos un correo a RRHH:

En relación con la solitud del registro de huella dactilar que se le está haciendo a la plantilla consideramos que la información proporcionada es insuficiente, por ello solicitamos aclaren las siguientes cuestiones:

¿Qué datos va a manejar/recoger el sistema de Huella dactilar?¿Qué pasa si algún trabajador/ra no da su consentimiento?¿Qué recursos hay para adecuar estos principios personales y privados de cada uno sobre temas como distribuir sus datos biométricos sin estar de acuerdo?
¿Para qué se van a utilizar esos datos?
¿Por dónde van a viajar los datos recogidos de la huella (redes/comunicaciones)?
¿Qué datos se graban, dónde (servidores) se grabarán los datos, quiénes y qué empresas tendrán acceso a esos datos?¿Dónde están esos servidores ubicados, quiénes y qué empresas tendrán acceso a esos servidores?
¿Qué medidas de seguridad se van a tomar para proteger esa información? Desde el momento de la toma de la huella para su registro (grabación) y en el proceso de identificación (verificación de la misma).
¿Van a pedir autorización para el uso de la huella a la plantilla individualmente?
¿Qué alternativas tienen si la persona no quiere proporcionar su huella o revoca su autorización?
¿Qué alternativas tienen si el sistema no detecta/identifica correctamente la huella de una persona?
¿Van a pedir la huella a las visitas que accedan al centro?

Recibimos la respuesta con lo siguiente: 

El sistema no almacenará ningún dato biométrico de ninguna persona usuaria.

El sistema al recoger la huella por primera vez,  crea un template/HASH mediante un algoritmo y eso es lo que se almacena en la base de datos alojada en nuestro servidor con todas las medidas de seguridad pertinentes.  A partir de dicho template/HASH no es posible reconstruir la huella dactilar de ninguna persona, ni ningún otro dato biométrico.  

En relación a la consulta:  ¿Qué pasa si no doy mi consentimiento? Hay posibilidad de hacer constar que por obligación tengo que dejar mis datos biométricos pero que no estoy conforme, es decir poder poner “No conforme” en un documento.

La actualización de los sistemas de control de acceso a las instalaciones de Atos mediante el sistema, está basado en un propósito legítimo por parte de la Empresa y que encuentra cabida en la Legislación en materia de Protección de Datos (RGPD) y en el Estatuto de los Trabajadores.

En relación a la consulta:  ¿Qué recursos hay para adecuar estos principios personales y privados de cada uno sobre temas como distribuir sus datos biométricos sin estar de acuerdo?
Nos remitimos a la respuesta anterior.

En relación a la consulta:  ¿Podemos los trabajadores tener toda esta información (técnica y legal), y no un documento genérico, vacío de contenido realmente útil que no da respuesta ni explicación sobre todo este proceso?

Os indicamos la web pública de la marca de los lectores de huella, Suprema, en esta página encontrareis información y la documentación técnica, los documentos están en la pestaña “Download” están todos los enlaces a la documentación técnica de los terminales.


Veréis que hay modelos, l2 y n2, aclarar que se trata del mismo modelo,  pero solo los diferencia la capacidad de usuarios.

Indicar asimismo que, Suprema, marca de los lectores, es el hardware, y su software asociado es el de Dorlet, que está instalado en nuestro servidor.

En relación a la consulta:  Aun no se sabe exactamente toda la información, donde se almacena los datos (lugar y entorno, dirección, que data center, que empresas están implicadas, quien podrá acceder a esta información biométrica, derecho a cancelación y al olvido,…), medidas técnicas y de seguridad bien descritas y transparentes, nombres y apellidos de los responsable de estos datos,…

Respecto al almacenamiento de los datos, los mismos están en los servidores de Atos y solo Atos tendrá acceso a ellos, en ningún caso el proveedor tiene acceso a ellos en remoto.
En cuanto a las medidas de seguridad, hemos podido comprobar que el proveedor tiene su propio sistema de gestión de datos de personas y que cumplen con la normativa en esta materia.
En relación a la consulta:  ¿Dónde se calcula el HASH?

Una cosa es que, al momento de registrar la huella, el propio dispositivo de adquisición de la firma de la huella calcula efectivamente el HASH en el propio dispositivo y solamente se envía el HASH a partir de este dispositivo y que realmente no se transmite una imagen o información biométrica no codificada desde este dispositivo que sea en una maquina local (¿un PC en la recepción o en red local?) o remota, almacenando esta información sin codificar, y la otra que esta información no codificada se envía en algún lugar o servidor remoto y que calcula el HASH a partir del escaneado de la huella por un proceso remoto (en un PC local o maquina remota), lo que me hace pensar que esta imagen e información sin codificar ya está “viajando” por el cable del dispositivo hasta una maquina o por la red y nada asegura que este dato sin codificar de destruirá y solamente quedara el HASH.

Indicar que, como ya se ha comentado,  la huella no se almacena, son los propios lectores los que calculan el template/HASH y es solo este templete (código binario) el que se almacena en el dispositivo. Por tanto no se registra, envía o almacena ninguna imagen de la huella.

Al no existir ninguna imagen de la huella no existe ningún proceso remoto o local en el que viaje o se envíe alguna imagen o información sin codificar. Asimismo nos remitimos al mail de fecha de 17 de julio a toda la plantilla comunicando este proceso.

No hay comentarios:

Publicar un comentario