Dictamen N° 3/023 A
VISTO: La consulta presentada por el Banco de Previsión Social (BPS) sobre el proyecto “Fe de vida”.
RESULTANDO: I. Que se presenta ante esta Unidad el BPS a efectos de consultar sobre un proyecto de verificación de fe de vida usando biometría facial. La intención del Proyecto es que beneficiarios que residen en el exterior y reciben prestaciones, puedan evidenciar periódicamente su condición de existencia para que el BPS continúe brindando el beneficio.
II. Que el mecanismo previsto permitiría incrementar la frecuencia de verificación sin implicar un esfuerzo adicional ni la adquisición de equipamiento especial para los usuarios. En forma complementaria, se informa que la solución adquirida es una plataforma de datos biométricos a través de la cual se realizará el reconocimiento facial de las personas y extracción de datos de sus documentos.
III. Que se aclara que dicha solución radica en la plataforma informática, en la nube, de Amazon Web Services (AWS). Se detallan en la consulta los beneficios esperados del proyecto.
IV. Que se solicitó al BPS informar si se realizó una evaluación de impacto de conformidad con lo dispuesto en el artículo 18 bis de la Ley N° 18.331, de 11 de agosto de 2008 y en la medida que se informa que la solución se alojará en AWS, se solicitó se acreditara el cumplimiento del artículo 23 de la citada Ley.
V. Que el BPS especifica que la transferencia se basa en el artículo 23 literal D) de la Ley por cuanto le corresponde coordinar los servicios estatales de previsión social y organizar la seguridad social. En cuanto a la evaluación de impacto, indica que se realizó un análisis del conjunto de datos mínimos necesarios para poder ejecutar en forma efectiva la solución, identificando que solamente se traten los datos necesarios para la finalidad del tratamiento, evitando la transferencia de datos dentro de alguna de las categorías especialmente protegidas.
VI. Que ante la solicitud de esta Unidad, el BPS adjuntó la evaluación de impacto realizada.
CONSIDERANDO: I. Que en lo que respecta al proyecto “Fe de vida”, se comparte que el BPS cumple un cometido legal de conformidad con lo previsto en el artículo 4° de la Ley 15.800, y en las leyes 16.713 y 18.395, entre otras. No obstante, el proyecto debe supeditarse al cumplimiento de ciertos aspectos de la protección de datos.
II. Que, en ese sentido, según el artículo 4° literal ñ) de la Ley N° 18.331, se consideran datos biométricos aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona tales como datos dactiloscópicos, reconocimiento de imagen o voz”. El artículo 18 bis de la misma norma, establece que cuando se utilicen datos biométricos se deberá tener en cuenta el artículo 9° y realizar una previa evaluación de impacto en la protección de datos personales.
III. Que, en cuanto a la finalidad del presente tratamiento, surge claramente de lo informado en la consulta y en cuanto al consentimiento, se comparte la aplicación de la excepción del artículo 9° literal B). La competencia legal en este caso estaría dada por lo dispuesto en el ya mencionado artículo 4° de la Ley N° 15.800.
IV. Que, asimismo, se considera que en la medida que se genera una base de datos, ésta debe ser inscrita ante el Sistema de Gestión de la URCDP (artículo 6° de la Ley N° 18.331).
V. Que, en la evaluación de impacto que se adjunta se indica que serían objeto del tratamiento unas 15.000 personas beneficiarias, se aclara que los datos son los incluidos en la cédula de identidad uruguaya junto con el dato biométrico necesario paran realizar el proceso de validación, y que no se evalúan datos sensibles. En este sentido, se considera adecuado el análisis realizado.
VI. Que en caso de utilizar el el servicio de DNIC a los efectos de comprobar la imagen se considera necesario que se firme un acuerdo con esta Entidad y se aclare el proceso a realizer, con especial énfasis en en proceso de identificación, y que datos guardará el BPS.
VII. Que en cuanto a las medidas de seguridad se informa en la evaluación de impacto que el repositorio es la plataforma con cifrado nativo de AWS cloud services, además de un segundo nivel de cifrado de ADO Technologies.
VII. Que, en relación con las transferencias internacionales, se indica que la información se alojará en la nube de Amazon Web Services y que se fundamenta en el literal D) del artículo 23 de la Ley, Sin embargo, resulta recomendable revisar las condiciones contractuales con la empresa debido a que ésta reside en un país no adecuado.
IX. Que en cuanto a la evaluación de impacto presentada, se comparte en líneas generales, aunque se recomienda la realización de un análisis más exhaustivo a efectos de considerer otros aspectos como por ejemplo,el análisis del ciclo de vida de los datos, las medidas de seguridad a adoptar y el impacto de la transferencia internacional de datos.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
- Hacer saber al Banco Previsión Social los extremos señalados en la parte expositiva del presente, a efectos de que la solución se adopte al marco normativo vigente, en particular lo indicado en el Considerando IX con respecto al alcance de la Evaluación de Impacto presentada.
- NOTIFÍQUESE Y PUBLÍQUESE.
Firmado por: Felipe Rotondo
Consejo Ejecutivo