Ir al contenido
Biometría terciaria: huella dactilar y reconocimiento facial — KYTOM
Equipo Obras

Biometría terciaria: huella dactilar y reconocimiento facial

El RGPD artículo 9 y el reglamento tipo de la CNIL de 2019 limitan la biometría a 3 casos legítimos

La biometría es una herramienta de seguridad para zonas críticas, no un control de acceso terciario. El RGPD artículo 9 y el reglamento tipo de la CNIL, deliberación n.º 2019-001 de 10 de enero de 2019, limitan su uso a tres casos legítimos (centro de datos, sala de mercados, I+D bajo IGI 1300): una minoría de los proyectos de control de acceso entregados por Kytom integra un componente biométrico, siempre en 1 a 3 puertas como máximo. La huella dactilar y el reconocimiento facial concentran las restricciones jurídicas más exigentes del control de acceso terciario, con sanciones de la CNIL de 20 000 a 200 000 € por generalización abusiva (deliberaciones públicas 2019-2023, jurisprudencia accesible en cnil.fr). Este artículo enmarca las condiciones jurídicas de autorización, el método Kytom en 5 etapas en 12 a 16 semanas, el comparativo entre huella en tarjeta y facial 3D, y las obligaciones posteriores a la entrega que rigen durante toda la duración del dispositivo.

Biometría terciaria: huella dactilar y reconocimiento facial
02

El RGPD (reglamento UE 2016/679, artículo 9-1) clasifica los datos biométricos con fines de identificación única entre los datos sensibles, prohibidos por principio salvo excepción estrictamente regulada. El reglamento tipo de la CNIL sobre biometría en los lugares de trabajo, deliberación n.º 2019-001 publicada en el Diario Oficial el 28 de marzo de 2019, impone tres condiciones acumulativas:

  • justificación de un contexto específico (zona de alta seguridad documentada),
  • EIPD (Evaluación de Impacto relativa a la Protección de Datos) documentada según la metodología de la CNIL publicada en 2018 (guía EIPD de la CNIL, edición de febrero de 2018),
  • priorización de los dispositivos sin almacenamiento centralizado (plantilla en soporte individual en posesión del empleado).

El reglamento tipo cita tres casos legítimos: protección de personas (laboratorios P3-P4 según la clasificación INRS ND 2105), protección de bienes de alto valor (cajas fuertes, salas de mercados), protección de información estratégica (I+D bajo secreto de defensa en el sentido de la IGI 1300, datos de salud centralizados). El control de acceso clásico por tarjeta RFID 13,56 MHz Mifare DESFire EV2 cubre la gran mayoría de las necesidades terciarias sin ninguna problemática del RGPD artículo 9. El plazo de instrucción de la CNIL en caso de consulta previa puede alcanzar varios meses, que conviene integrar en la planificación del proyecto.

Para el departamento de TI: la biometría no es un componente IAM. Contrariamente a un uso extendido entre ciertos integradores de seguridad, la biometría no sustituye a un directorio de identidad ni a una política IAM. Nuestra lectura práctica de los proyectos entregados muestra que la biometría es un factor de autenticación física en zona crítica, que se añade a la cadena tarjeta + AD/LDAP, nunca la sustituye. La doxa del sector subestima el coste de integración con los SI: interfaz OSDP v2 hacia el SCADA de seguridad, registro SIEM (RGPD artículo 30), procedimiento de revocación al producirse la baja del colaborador, articulación con la PSSI. En una sede terciaria estándar sin activo sensible nominalmente identificado, el sobrecoste de inversión biométrica (generalmente varios miles de euros por puerta) no se justifica frente a una tarjeta cifrada DESFire EV2, cuyo coste unitario sigue siendo claramente inferior: el retorno de la inversión supera habitualmente varios años. Nuestra recomendación por defecto sigue siendo la tarjeta cifrada: la biometría solo se plantea a partir de un activo específico nominalmente identificado.

Biometría terciaria: huella dactilar y reconocimiento facial
03

El método Kytom en 5 etapas despliega la biometría en 12 a 16 semanas

El despliegue biométrico conforme se organiza en cinco etapas secuenciales, sin atajo posible:

  1. Cualificación de la necesidad con el DPO y la dirección de seguridad: cartografía de las zonas, inventario de los riesgos industriales y financieros, justificación por escrito de la necesidad (semana 1-2).
  2. EIPD redactada según la metodología de la guía de la CNIL de febrero de 2018, integrando los 9 criterios del G29 (directrices WP248 de 4 de abril de 2017 refrendadas por el CEPD) y la consulta a los representantes del personal a través del CSE con un plazo legal de 1 mes mínimo (Código de Trabajo artículo L.2312-15) (semana 3-7).
  3. Elección tecnológica: huella dactilar con plantilla en tarjeta individual (arquitectura descentralizada priorizada por el reglamento tipo de la CNIL 2019), o reconocimiento facial 3D infrarrojo en 1 a 2 puertas (semana 8).
  4. Integración con el sistema de control de acceso existente mediante protocolo OSDP v2 cifrado AES-128 (especificación SIA OSDP v2.2), con modo degradado tarjeta + código obligatorio en caso de fallo del lector (semana 9-13).
  5. Documentación final: registro de actividades de tratamiento RGPD artículo 30, información individual por escrito (RGPD artículos 13 y 14), procedimiento de retirada, periodo de conservación limitado a contrato de trabajo + 3 meses (semana 14-16).

Para el DPO y el RSSI: la consulta al CSE pesa más que la técnica. La planificación de 12 a 16 semanas integra un margen significativo para la fase social (consulta al CSE), que constituye sistemáticamente la ruta crítica del despliegue. La fase de EIPD y de consulta al CSE representa habitualmente de 5 a 7 semanas, frente a 4 a 6 semanas de implementación técnica real: son el DPO y el departamento de RR. HH. quienes determinan la ruta crítica, no el integrador. Toda planificación anunciada por debajo de 8 semanas por un proveedor de seguridad oculta generalmente una EIPD chapucera o una consulta al CSE escamoteada, lo que la CNIL sanciona directamente (deliberación SAN-2021-013, 200 000 € por EIPD insuficiente). Kytom coordina al DPO del cliente, al integrador de seguridad y al arrendador en la totalidad de los proyectos sensibles desde 2006.

04

Huella en tarjeta o facial 3D: de 3 000 a 8 000 € por puerta según la arquitectura

El reglamento tipo de la CNIL 2019 (deliberación n.º 2019-001) prioriza las arquitecturas sin base centralizada. La huella dactilar con plantilla almacenada en la tarjeta individual mantiene al empleado como dueño de su dato biométrico: es la opción más conforme y más rápida de desplegar (8 a 10 semanas frente a 14 a 16). El reconocimiento facial 3D infrarrojo requiere por construcción una base centralizada de plantillas, lo que exige una justificación reforzada.

Criterio Huella en tarjeta Facial 3D infrarrojo
Arquitectura CNIL Descentralizada (preferida) Centralizada (justificación reforzada)
Duración del proyecto 8 a 10 semanas 14 a 16 semanas
Inversión por puerta 3 000 a 5 000 € 5 000 a 8 000 €

Los tiempos de paso y las tasas de adhesión varían según los equipos y los contextos de uso; nuestros equipos pueden facilitarle experiencias de proyectos comparables. La adhesión del usuario a los 6 meses suele ser mejor con la huella en tarjeta, cuya ergonomía se percibe como menos intrusiva que el reconocimiento facial. Los rangos de inversión por puerta proceden de nuestra experiencia en proyectos terciarios recientes, sin incluir los costes de EIPD y de gestión del cambio.

Límites de la elección biométrica. La huella en tarjeta pierde su interés operativo en accesos de alto flujo con las manos ocupadas (laboratorios, salas blancas, plataformas de producción): el gesto de presentar el dedo en el lector ralentiza el flujo y provoca una tasa de fallo de primera lectura nada despreciable según nuestras observaciones. El facial 3D resulta entonces técnicamente preferible, a costa de una EIPD más pesada.

05

Preguntas frecuentes

¿Está autorizada la biometría en una sede terciaria estándar?

No por defecto. El reglamento tipo de la CNIL de 2019 (deliberación n.º 2019-001) limita la biometría a 3 casos: protección de personas en laboratorios P3-P4, protección de bienes de alto valor (cajas fuertes, salas de mercados) y protección de información estratégica bajo IGI 1300. En la gran mayoría de las sedes terciarias, sin activo sensible identificado nominalmente, la tarjeta cifrada DESFire EV2 cubre la necesidad sin entrar en el ámbito del artículo 9.

05 — Inspiraciones

Explore nuestros
proyectos

Explorar Explorar

¿Tiene un proyecto de acondicionamiento?

Benefíciese de una auditoría gratuita de sus espacios: mirada experta, recomendaciones concretas, sin compromiso.

Solicitar mi auditoría gratuita