A la luz de la inminente entrada en vigor de la ley sobre identificación biométrica de clientes bancarios, me gustaría retroceder un poco y recordar qué son realmente los datos personales biométricos. Lo que Roskomnadzor nos cuenta sobre esto y qué debemos hacer si tenemos que trabajar con ellos.
De acuerdo con la Ley Federal de 27 de julio de 2006 N 152- "Sobre datos personales", art. 11:
“La información que caracteriza las características fisiológicas y biológicas de una persona, sobre la base de la cual es posible establecer su identidad (datos personales biométricos) y que es utilizada por el operador para establecer la identidad del sujeto de los datos personales, solo puede procesarse con el consentimiento por escrito del sujeto de los datos personales, a menos que previsto en el párrafo 2 de este artículo ".
Para los niños, Roskomnadzor tiene una explicación simplificada:
Los datos personales biométricos son información sobre nuestras características biológicas. Estos datos son únicos, pertenecen a una sola persona y nunca se repiten.
Los datos biométricos son inherentes a nosotros desde el nacimiento por naturaleza, no son asignados por nadie, solo es información codificada sobre una persona que las personas han aprendido a leer. Estos datos incluyen:
huella digital, patrón de iris, código de ADN, transmisión de voz, etc.
Sobre las normas
De acuerdo con la orden de la Agencia Federal de Regulación Técnica y Metrología del 6 de marzo de 2017 No. 448, se organizaron las actividades del Comité Técnico de Normalización TC 098 Biometría y Biomonitoreo.
De acuerdo con el Apéndice No. 3 a la orden de la Agencia Federal de Regulación Técnica y Metrología del 6 de marzo de 2017 No. 448 (Reglamento sobre el Comité Técnico de Normalización “Biometría y Biomonitoreo”), el TC está diseñado para resolver los siguientes problemas:
- la formación de un programa nacional de estandarización para actividades asignadas a TC 098 y el monitoreo de la implementación de este programa;
- consideración de propuestas para la aplicación de estándares internacionales y regionales a nivel nacional e interestatal en el área de actividad asignada a TC 098;
- examen de los proyectos de normas nacionales e interestatales y proyectos de enmiendas a las normas existentes, así como presentarlos para su aprobación (adopción) a Rosstandart;
- participación en el trabajo del comité técnico interestatal para la estandarización (MTK) y los comités técnicos internacionales (ISO / TC), que tienen un área de actividad común con él;
- verificación periódica de las normas nacionales e interestatales vigentes en la Federación de Rusia y asignadas a TC 098 para identificar la necesidad de actualizarlas o cancelarlas;
- evaluación de la conveniencia de aprobar estándares nacionales preliminares asignados a TC 098 como estándares nacionales de la Federación de Rusia en función de los resultados del monitoreo de su aplicación;
- consideración de proyectos de normas internacionales en el área de actividad asignada a TC 098 y preparación de la posición de la Federación de Rusia al votar sobre estos proyectos;
- consideración de propuestas para el desarrollo de estándares internacionales, incluso sobre la base de estándares nacionales e interestatales asignados a TC 098;
- examen de traducciones oficiales al ruso de estándares internacionales y regionales, estándares nacionales y códigos de reglas de estados extranjeros en el área de actividad asignada a TC 098, etc.
Al 31 de octubre de 2017, este TC refleja la lista de estándares nacionales existentes en el campo de las tecnologías biométricas. Esta lista se resume en la tabla a continuación.
No
| Designación de norma nacional
| Nombre de la norma nacional
|
1)
| GOST ISO / IEC 2382-37-2016 *
| Tecnología de la información. Diccionario Parte 37. Biometría (adoptada por el protocolo de la IGU No. 93-P del 22 de noviembre de 2016)
|
2)
| GOST ISO / IEC 19794-1-2015 *
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 1. Estructura
|
3)
| GOST R ISO / IEC 19794-2-2013
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 2. Datos de imagen de huella digital - Hitos
|
4)
| GOST R ISO / IEC 19794-3-2009
| Autenticación Identificación biométrica. Formatos para el intercambio de datos biométricos. Parte 3. Datos espectrales de imágenes de huellas dactilares
|
5)
| GOST R ISO / IEC 19794-4-2014
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 4. Datos de imagen de huella digital
|
6)
| GOST R ISO / IEC 19794-5-2013
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 5. Datos de imagen facial
|
7)
| GOST R ISO / IEC 19794-6-2014
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 6. Datos de imagen del iris.
|
8)
| GOST R ISO / IEC 19794-7-2009
| Autenticación Identificación biométrica. Formatos para el intercambio de datos biométricos. Parte 7. Datos dinámicos de firma
|
9)
| GOST R ISO / IEC 19794-8-2015
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 8. Datos de imagen de huella digital - marco
|
10)
| GOST R ISO / IEC 19794-9-2015
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 9. Datos de imagen del lecho vascular
|
11)
| GOST R ISO / IEC 19794-10-2010
| Autenticación Identificación biométrica. Formatos para el intercambio de datos biométricos. Parte 10. Datos de geometría del contorno de la mano
|
12)
| GOST R ISO / IEC 19794-11-2015
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 11. Datos dinámicos de firma procesados
|
13)
| GOST R ISO / IEC 19794-14-2017
| Tecnología de la información. Biometría Formatos para el intercambio de datos biométricos. Parte 14. Datos de ADN
|
14)
| GOST R ISO / IEC 19795-1-2007
| Autenticación Identificación biométrica. Pruebas de rendimiento e informes de prueba en biometría. Parte 1. Principios y estructura.
|
15)
| GOST R ISO / IEC 19795-2-2008
| Autenticación Identificación biométrica. Pruebas de rendimiento e informes de prueba en biometría.
Parte 2. Métodos de prueba tecnológicos y de escenarios.
|
16)
| GOST R ISO / IEC
A 19795-3-2009
| Autenticación Identificación biométrica. Pruebas de rendimiento e informes de prueba en biometría. Parte 3. Características de las pruebas con varias modalidades biométricas.
|
17)
| GOST R ISO / IEC 19795-4-2011
| Tecnología de la información. Biometría Pruebas de rendimiento e informes de prueba en biometría. Parte 4. Pruebas de compatibilidad.
|
18)
| GOST R ISO / IEC 19795-6-2015
| Tecnología de la información. Biometría Pruebas de rendimiento e informes de prueba en biometría. Parte 6. Metodología de prueba operacional
|
19)
| GOST R ISO / IEC 19784-1-2007
| Autenticación Identificación biométrica. Interfaz de software biométrico. Parte 1. Especificación de interfaz de software biométrico
|
20)
| GOST R ISO / IEC 19784-2-2010
| Autenticación Identificación biométrica. Interfaz de software biométrico. Parte 2. Interfaz de proveedor de archivo de características biométricas
|
21)
| GOST R ISO / IEC 19784-4-2014
| Tecnología de la información. Biometría Interfaz de software biométrico. Parte 4. Interfaz del proveedor de funciones del sensor biométrico
|
22)
| GOST R ISO / IEC 19785-1-2008
| Autenticación Identificación biométrica. Estructura unificada de formatos de intercambio de datos biométricos. Parte
1. Especificación del elemento de datos
|
23)
| GOST R ISO / IEC 19785-2-2008
| Autenticación Identificación biométrica. Estructura unificada de formatos de intercambio de datos biométricos. Parte 2. Procedimientos para las acciones de la autoridad de registro en el campo de la biometría.
|
24)
| GOST R ISO / IEC 19785-4-2012
| Tecnología de la información. Biometría Estructura unificada de formatos de intercambio de datos biométricos. Parte 4. Especificación del formato de la unidad de seguridad de la información.
|
25)
| GOST R ISO / IEC 24708-2013
| Tecnología de la información. Biometría Protocolo de puerta de enlace BioAPI
|
26)
| GOST R ISO / IEC 24709-1-2009
| Autenticación Identificación biométrica. Pruebas de cumplimiento de la interfaz de software biométrico (BioAPI). Parte 1. Métodos y procedimientos.
|
27)
| GOST R ISO / IEC 24709-2-2011
| Tecnología de la información. Biometría Pruebas de cumplimiento de la interfaz de software biométrico (BioAPI). Parte 2. Declaraciones de prueba para proveedores de servicios biométricos
|
28)
| GOST R ISO / IEC 24709-3-2013
| Tecnología de la información. Biometría Pruebas de cumplimiento de la interfaz de software biométrico (BioAPI). Parte 3. Declaraciones de prueba para infraestructuras BioAPI
|
29)
| GOST ISO / IEC 24713-1-2013 *
| Tecnología de la información. Perfiles biométricos para interacción e intercambio de datos. Parte 1. Arquitectura general del sistema biométrico y perfiles biométricos.
|
30)
| GOST R ISO / IEC 24713-2-2011
| Tecnología de la información. Biometría Perfiles biométricos para interacción e intercambio de datos. Parte 2. Control de acceso físico para el personal del aeropuerto.
|
31)
| GOST R ISO / IEC 24713-3-2016
| Tecnología de la información. Biometría Perfiles biométricos para interacción e intercambio de datos. Parte 3. Verificación biométrica e identificación de la gente de mar.
|
32)
| GOST R ISO / IEC 29109-1-2012
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 1. Metodología generalizada para pruebas de conformidad
|
33)
| GOST R ISO / IEC 29109-4-2015
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 4. Datos de imágenes de huellas digitales
|
34)
| GOST R ISO / IEC 29109-5-2013
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 5. Datos de imagen facial
|
35)
| GOST R ISO / IEC 29109-6-2016
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 6. Datos de imagen de iris
|
36)
| GOST R ISO / IEC 29109-7-2016
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 7. Datos dinámicos de firma
|
37)
| GOST R ISO / IEC 29109-8-2016
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 8. Datos de imágenes de huellas digitales - núcleo
|
38)
| GOST R ISO / IEC 29109-9-2017
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 9. Datos de imagen del lecho vascular
|
39)
| GOST R ISO / IEC 29109-10-2017
| Tecnología de la información. Biometría Metodología de prueba para el cumplimiento de los formatos de intercambio de datos biométricos definidos en el conjunto de normas ISO / IEC 19794. Parte 10. Datos del contorno de la geometría de la mano
|
40)
| GOST R ISO / IEC 29794-1-2012
| Tecnología de la información. Biometría La calidad de las muestras biométricas. Parte 1. Estructura
|
41)
| GOST R ISO / IEC 29141-2012
| Tecnología de la información. Biometría Adquisición de diez imágenes de huellas digitales simultáneamente con BioAPI
|
42)
| GOST R 54412-2011 / ISO / IEC TR 24741: 2007
| Tecnología de la información. Biometría Programa de entrenamiento biométrico
|
Como puede ver, la lista es bastante extensa, pero eso no es todo. Además de las tecnologías biométricas, también se aplican los estándares biométricos y para documentos de pasaporte y visa legibles por máquina, así como las tarjetas de identificación con datos biométricos. No los proporcionaremos en el marco de este artículo, si desea familiarizarse con ellos, todo esto se puede encontrar en el sitio web de TC 098.
Sobre las aclaraciones de Roskomnadzor
Las aclaraciones emitidas por Roskomnadzor que solo plantearon "... los problemas de asignar imágenes de fotos y videos, huellas digitales y otra información a datos personales biométricos y las características de su procesamiento". Fueron ignorados por muchos en vano. Todavía hay muchas preguntas, cuyas respuestas se pueden encontrar en las explicaciones sin profundizar en GOST. Por lo tanto, propongo volver a analizar los puntos principales y que alguien se familiarice con ellos por primera vez.
Según la definición dada anteriormente, en el contexto de la Ley Federal "sobre datos personales", la asignación de información personal a datos personales biométricos y su posterior procesamiento debe considerarse como parte de las actividades del operador destinadas a identificar a una persona específica, a menos que las leyes federales y actos jurídicos normativos adoptados sobre su base.
Es decir, si un usuario, por ejemplo, coloca su foto en algún avatar, entonces no consideramos estos datos biométricos, porque De acuerdo con la imagen de perfil, no determinamos la identidad del usuario. Sin embargo, hay casos en que una fotografía se atribuye directamente a datos personales biométricos.
"De acuerdo con el párrafo 6 de la Lista de datos personales registrados en los portadores de información electrónica que figuran en los documentos principales que prueban la identidad de un ciudadano de la Federación Rusa, según el cual los ciudadanos de la Federación Rusa salen de la Federación Rusa e ingresan a la Federación Rusa, aprobados por resolución del Gobierno de la Federación Rusa el 4 de marzo de 2010 No. 125, una fotografía digital en color de la cara del propietario del documento son los datos personales biométricos del propietario del documento ".
En los casos en que un operador escanea un pasaporte para confirmar que ciertas acciones han sido tomadas por una persona específica, por ejemplo, concluir un acuerdo sobre la prestación de servicios, incluidos los bancarios, médicos, etc.) sin procedimientos de identificación (identificación), estas acciones no pueden considerarse procesamiento de datos personales biométricos y art. 11 de la Ley Federal "sobre datos personales" no está regulada. En consecuencia, el procesamiento de la información, en estos casos, se lleva a cabo de conformidad con los requisitos generales establecidos por la Ley Federal "sobre datos personales".
Las imágenes de rayos X o fluorográficas que caracterizan las características fisiológicas y biológicas de una persona y no están incluidas en el historial médico del paciente (registro médico) (no importa, en papel o electrónico) no son datos personales biométricos, ya que no son utilizados por el operador (institución médica) para establecer la identidad del paciente. . Pero en el caso de su transferencia a petición de los sujetos de las actividades de búsqueda operativa, los organismos de investigación y consulta en el marco de los eventos que llevan a cabo, esta información se convierte en datos personales biométricos, ya que es utilizada por los operadores: organismos de investigación y consulta para establecer la identidad de una persona en particular. Es decir la información médica se transfiere a las autoridades investigadoras, y allí ya se convierten en datos personales biométricos.
Se debe seguir un enfoque similar al recibir otra información que pueda atribuirse a datos personales biométricos. Por lo tanto, si utilizamos la información que caracteriza las características fisiológicas y biológicas de una persona para establecer una personalidad, entonces tenemos datos biométricos, si no, es diferente.
Lo principal es que en el caso del procesamiento de datos personales biométricos, debe recordar:
"De conformidad con la Parte 1 del art. 11 de la Ley Federal "sobre datos personales", el procesamiento de datos personales biométricos solo puede llevarse a cabo con el consentimiento por escrito del sujeto de los datos personales. "
PD Aquí puede descargar nuestro Libro Blanco sobre la Ley Federal No. 152 .Este es un libro que se publicó para ayudar a eliminar la confusión con respecto al procesamiento de datos personales y describir claramente el proceso de llevar la información personal IP de acuerdo con la ley rusa. El tema se desarrolla desde cero. Esto ayuda a satisfacer las necesidades de una amplia gama de lectores.