ICAO 9303 frente a ISO/IEC 19794-5: lo que los equipos de RR. HH. y cumplimiento normativo suizos realmente necesitan en lo que respecta a las fotos de los empleados

Antes de nada: la norma ICAO 9303 es la norma para documentos de viaje legibles por máquina. La norma ISO/IEC 19794-5 es la norma sobre calidad de imagen biométrica en la que se basa la ICAO 9303. Para las empresas suizas que capturan fotos de empleados o de documentos de identidad a gran escala, ambas son relevantes, pero por motivos distintos. Quien no comprenda la diferencia, acabará adquiriendo un exceso de norma o una seguridad insuficiente.

¿Por qué es tan importante esta comparación?

En las licitaciones para plataformas de recursos humanos, sistemas de control de acceso o tarjetas de identificación de organismos públicos, ambos términos suelen aparecer en la misma frase, y casi siempre se utilizan indistintamente. Esto es objetivamente incorrecto y, en la práctica, da lugar a dos problemas habituales:

En primer lugar, se crean colecciones de fotografías que, aunque se denominan «conformes con la OACI», no cumplen de forma sistemática los criterios de calidad biométricos. En segundo lugar, se adquieren soluciones diseñadas para garantizar la máxima conformidad con los documentos de viaje, aunque para el caso de uso concreto —por ejemplo, una foto de perfil uniforme de los empleados en la intranet— bastaría con un marco ISO mucho más pragmático.

Ambas opciones tienen un coste. En el primer caso, por las nuevas subidas, las reclamaciones y el trabajo manual adicional. En el segundo caso, por un proceso excesivamente complejo que desmotiva a los empleados y frena la adopción.

ICAO 9303 en una frase

La norma ICAO 9303 es la especificación de la Organización de Aviación Civil Internacional para los documentos de viaje legibles por máquina, es decir, pasaportes, documentos de identidad en formato ID-1 y visados. No solo define la imagen, sino también la estructura completa del documento: campos de datos, elementos de seguridad, estructura del chip y zona legible por máquina. La fotografía es uno de esos elementos.‍

En lo que respecta a la fotografía, la norma ICAO 9303 se remite en gran medida a la norma ISO/IEC 19794-5. Por lo tanto, cuando se habla de una «fotografía conforme a la ICAO», en la práctica se suele referir a una fotografía que cumple los requisitos biométricos de la norma ISO 19794-5, integrada en el marco normativo de la ICAO 9303.

Más información al respecto

La norma ISO/IEC 19794-5 en una frase

La norma ISO/IEC 19794-5 es la norma internacional relativa a los datos de imágenes faciales en sistemas biométricos. En ella se describe detalladamente cómo debe ser un retrato biométrico para que pueda ser procesado automáticamente: resolución, condiciones de iluminación, posición de la cabeza, posición de los ojos, fondo, expresión facial neutra, reflejos de las gafas, sombras y saturación.

Es el verdadero criterio técnico —y el aspecto que las empresas pueden comprobar en la práctica, ya que es cuantificable—.

Más información al respecto

Qué significa esto para la práctica en Suiza

En Suiza hay tres tipos de clientes que pueden acogerse a estas normas, y los tres tienen necesidades diferentes.

Las autoridades y los sectores regulados (oficinas de tráfico, consulados, organismos federales, bancos en el contexto del KYC) necesitan la norma ICAO 9303 como marco vinculante. En este caso, la norma no es negociable, ya que los documentos deben gozar de reconocimiento internacional. Una oficina de tráfico que capture fotografías para el permiso de conducir no puede eludir los requisitos de la ICAO.

Los equipos de RR. HH. y de comunicación interna de las grandes empresas no suelen necesitar todo el marco de la OACI. Lo que realmente necesitan es la norma ISO 19794-5: una calidad de imagen uniforme para miles de empleados, de modo que los perfiles de la intranet, las entradas de Active Directory, los contactos de Outlook y los avatares de Teams no parezcan una colección aleatoria de WhatsApp. Basta con una configuración ISO estricta, sin los gastos de certificación de la ICAO.

Los responsables de cumplimiento normativo y seguridad informática tienen una tercera perspectiva: quieren saber si la plataforma cumple de forma demostrable con la normativa y si los datos nunca salen del ámbito jurídico correspondiente. En este sentido, la conformidad técnica se convierte en una cuestión de protección de datos y, por lo tanto, en una cuestión relacionada con la ubicación del servidor.

El error de razonamiento típico en las licitaciones

Muchos pliegos de condiciones exigen de forma generalizadauna «captura fotográfica conforme a la OACI», incluso cuando solo se trata de retratos internos de los empleados. Aunque suena serio, encarece innecesariamente el proceso. Las dos consecuencias más habituales son:

Los empleados se enfrentan a los requisitos que se aplican a la solicitud de un pasaporte: fondo neutro con una luminosidad definida, sin gafas que produzcan reflejos y con una posición exacta de la cabeza. La tasa de reenvío se dispara, la aceptación disminuye y el departamento de RR. HH. tiene que intervenir manualmente.

O al revés: se escribe «ICAO», pero técnicamente solo se realiza una comprobación ISO superficial. El resultado es un conjunto de fotografías que no goza de reconocimiento internacional ni es coherente a nivel interno, y que, en caso de una aplicación ICAO real, deberá ser objeto de un laborioso proceso de edición posterior.

La forma correcta de proceder: antes de la licitación, aclarar si el caso de uso ICAO 9303 es realmente necesario como marco, o si la norma ISO/IEC 19794-5, como referencia técnica, es el requisito más adecuado.

Cuando entra en juego la protección de datos

En cuanto se trata de imágenes faciales, estas se consideran datos biométricos en el sentido de la Ley suiza de protección de datos revisada (revDSG) y del GDPR. Esto tiene dos consecuencias prácticas:

En primer lugar, el tratamiento debe estar documentado, limitarse a los fines previstos y, en caso de registro sistemático, ir acompañado de un proceso de evaluación del impacto en la protección de datos. En segundo lugar, el lugar de tratamiento y almacenamiento es importante. Una plataforma alojada en EE. UU. está sujeta a la Ley CLOUD de EE. UU., lo que, en el caso de los datos biométricos de los empleados en sectores regulados, plantea dudas justificadas. Por cierto, en Photo Collect todas las fotos Photo Collect procesan al 100 % en Suiza.

Para los responsables de cumplimiento normativo, esto significa que la norma que aparece en la imagen (ICAO/ISO) y la ubicación de los datos de la plataforma son dos criterios de verificación independientes que deben cumplirse ambos.

Qué debe tener en cuenta a la hora de elegir una plataforma

Independientemente de si se da prioridad a los requisitos de la OACI o de la ISO, la plataforma debe cubrir cuatro aspectos de forma clara:

1. Una validación automatizada según la norma correspondiente, no solo una inspección visual. La nitidez, la iluminación, la posición de la cabeza, el fondo y los reflejos de las gafas deben comprobarse mediante algoritmos antes de que la foto pase al control de calidad.
2. Un acceso sencillo para los empleados. Un enlace personalizado en el propio smartphone (BYOD) sin necesidad de instalar ninguna aplicación es hoy en día el estándar por el que todo debe medirse. Cualquier otra cosa dificulta la adopción.
3. Una ubicación clara de los datos. Dónde se procesan, dónde se almacenan, quién puede acceder a ellos, incluyendo los marcos jurídicos de los proveedores de servicios en la nube. Para los casos de cumplimiento normativo en Suiza, el alojamiento en un centro de datos con certificación ISO 27001 es el requisito mínimo.
4. Una exportación correcta a los sistemas de destino: impresoras de tarjetas, software de control de accesos, plataforma de RR. HH., Active Directory. Si al final hay que exportar los datos manualmente, toda la ganancia en eficiencia se esfuma.

Conclusión

PhotoCollect es la plataforma suiza de SaaS para el registro automatizado de fotografías de personas, conforme a las normas de la OACI y la ISO, con alojamiento en Suiza, instancias dedicadas por cliente y más de cuatro millones de fotografías procesadas. La utilizan, entre otros, el Grupo BMW, Migros, la Oficina de Tráfico del cantón de Berna y el Hospital Universitario de Basilea. Pruébala ahora tú mismo.