El pasado 23 de noviembre la Agencia Española de Protección de Datos (AEPD) lanzó la nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos. Esta nueva normativa ha generado mucha preocupación y dudas al respecto y desde entonces son muchas las empresas que nos han preguntado sobre ello.
¿Los datos biométricos son datos sensibles?
Según el RGPD, en el art. 4. 14, se definen los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Por lo tanto, este tipo de datos determinan la identidad directa o indirectamente de una persona y, por ese motivo, serían considerados como datos sensibles.
Además, la forma de almacenamiento de estos datos, en plantillas o patrones biométricos, permitirían ejecutar acciones de forma automática, perfilar o dar información sobre una persona como pueden ser sus actitudes, comportamientos, etc.
¿Es excesivo tratar datos biométricos para el control de presencia?
El control de presencia es un tratamiento de datos que se realiza con una finalidad concreta: registrar la jornada, controlar el acceso, entre otros motivos. Pero este tratamiento siempre debe cumplir con la normativa de protección de datos y con los principos, derechos y obligaciones que se establecen en el RGPD.
Uno de los principios del RGPD es el principio de minimización, que determina que los datos serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Y además, detalla claramente que cualquier dato que no sea necesario para cumplir con una finalidad, no deberá ser tratado.
Teniendo en cuenta esto, podemos confirmar que la finalidad de un tratamiento de control de presencia no es tratar datos biométricos. Por lo que en los procesos de control que se utilizan datos biométricos estaríamos recogiendo más información que la requerida para esta finalidad y vulnerando el principio de minimización.
Según los artículos 5.1 c y 25.1, el tratamiento de control de presencia debe tratar exclusivamente los datos necesarios para esos fines. Y cuando haya un tratamiento adicional se deberá justificar su necesidad. Por lo tanto, resultará excesivo el tratamiento de datos biométricos para un control de presencia.
Por ejemplo, en el caso del registro de la jornada, se puede hacer un tratamiento de estos datos con otro tipo de implementación equivalente y menos intrusiva, que utilice los menos datos adicionales. Es importante que no solo se exploren las opciones tecnológicas.
Condiciones que legitimen, o no, el tratamiento de datos biométricos
Para tratar cualquier categoría de datos especiales, como son los datos biométricos, será necesario que exista una circunstancia para levantar la prohibición y una condición que legitime el tratamiento.
A continuación te mostramos tres casos:
· Si en un registro de jornada laboral el levantamiento de la prohibición se basa en el art. 9.2.b), el responsable del tratamiento deberá contar con una norma con rango de ley que permita utilizar datos biométricos con esta finalidad. Ya que esto no lo contemplaría la actual normativa legal española.
· En un registro de jornada laboral nunca podrá levantarse la prohibición a partir del consentimiento de los trabajadores, ya que existe una situación de desequilibrio entre el interesado (trabajador) y el responsable del tratamiento (empresa, jefe/a, etc).
· La ejecución de un contrato tampoco será una circunstancia para levantar la prohibición del tratamiento.
Además, se deberá tener en cuenta que:
· Si la recogida de datos biométricos se implementa con técnicas de inteligencia artificial, también se deberá tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial.
· Siempre será obligatorio superar favorablemente una Evaluación de Impacto para la Protección de Datos, que se deberá hacer antes del tratamiento de datos, en la que se documentará la superación del triple análisis de idoneidad, necesidad y proporcionalidad.
En el caso del tratamiento de datos biométricos nos encontramos que no superaría este análisis.
Además, este punto es importante, ya que puede ser objeto de sanción. Como en este caso en el que la AEPD ha sancionado con 20.000€ a una empresa por no hacer una PIA (Privacy Impact Assestment) previa.
Medidas y garantías para el tratamiento de datos biométricos
En el caso de superarse todos los requisitos en la implementación de un sistema biométrico para el control de presencia, se deberán cumplir estas garantías y medidas organizativas, técnicas y jurídicas:
· Informar a los trabajadores sobre el tratamiento biométrico y el alto riesgo que conlleva.
· Permitir la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
· Asegurar que la plantilla o patrón biométrico no se utiliza para otros propósitos.
· Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de los datos recogidos.
· Utilizar sistemas tecnologicos que imposibiliten la interconexión de datos biométricos y la divulgación de estos.
· Eliminar los datos biométricos si no se utilizan para la finalidad establecida.
· Aplicar la minimización de los datos biométricos recogidos.
· Recoger todas las garantías y derechos con relación al tratamiento de datos biométricos en los convenios colectivos.
Con toda la información que nos llega con esta guía de la AEPD, desde Pyme Legal recomendamos dejar de utilizar los sistemas de datos biométricos y buscar opciones menos intrusivas y que no recojan tantos datos innecesarios.
Aún así, estaremos a la espera de que la Comisión Europea opine al respecto porque todavía podría cambiar la situación.
Fuente: Pyme Legal
Ponte en contacto con nosotros y te ayudaremos
