Zabía-Abogados

La AEPD publica su Guía sobre el tratamiento de datos biométricos para el control de presencia y acceso en distintos establecimientos o locales (tanto en el marco de una relación laboral, como en cualquier otra circunstancia) cambiando el criterio que había defendido en su Guía relativa a la protección de datos en las relaciones laborales, así como en su informe 36/2020

La autoridad de control ha elaborado y publicado su “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” que tiene como principal finalidad “ fijar los criterios para la utilización de la biometría [a través de plantillas biométricas]” para la realización de los controles de presencia y acceso (registros de jornada laboral), recogiendo qué medidas se deben aplicar para que estos tratamientos de los datos biométricos cumplan con lo dispuesto en la normativa vigente de protección de datos (esto es, el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018).

Tal y como afirma la AEPD, debido al desarrollo tecnológico actual (entre otras, por ejemplo, las mejoras implementadas en los sistemas de Inteligencia Artificial, etc.), este tipo de sistemas pueden incrementar la información que se recaba sobre los titulares de los datos, usándolos de forma transversal, e incluso “permiten la posibilidad de recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello”, considerándose por la Agencia que este tratamiento incluye categorías especiales de datos, resultando de alto riesgo. 

En este sentido, la autoridad de control ha modificado el criterio defendido en sus anteriores guías e informes, declarando, respecto a los conceptos de identificación y autenticación, que, si bien con anterioridad “se interpretaba la autenticación biométrica fuera de las categorías especiales de datos”, en la actualidad “esta interpretación ha sido superada por las Directrices [del EDPB] antes citadas, por lo que la interpretación de esta AEPD ha de adaptarse a” las mismas. Es por ello por lo que en la actualidad la autenticación biométrica sí se considera un tratamiento de datos de categoría especial.

Habida cuenta de ello, “para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime”.

Así, en relación con los controles de acceso y los registros de jornada en el ámbito laboral, la autoridad de control indica que si la prohibición del tratamiento de datos biométricos se “levanta” con base en el artículo 9.2.b) del RGPD (esto es, que el tratamiento es necesario para el cumplimiento de obligaciones en el ámbito del derecho laboral), “el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad”, debiendo el tratamiento ser necesario y la normativa que lo recoge respetar el principio de proporcionalidad. No obstante, se pone de manifiesto que en el ordenamiento jurídico español no existe ley alguna que autorice a los responsables a tratar datos biométricos con esta finalidad.

En este sentido, se declara que el consentimiento no es una base que permita tratar este tipo de datos, por cuanto existe un desequilibrio claro con la persona que está facilitando el mismo (tampoco puede ser utilizada para el tratamiento de estos datos fuera del ámbito laboral, puesto que es un tratamiento de alto riesgo).

Entre las medidas que la autoridad de control indica que se deben implementar en el supuesto de que el responsable pudiera justificar este tratamiento de datos y, en consecuencia, poder llevarlo a cabo, se pueden destacar la obligación de informar sobre el tratamiento de los datos biométricos y los riesgos asociados al mismo, el uso de cifrado para garantizar la confidencialidad, el desarrollo de herramientas para asegurar la imposibilidad de usar las plantillas biométricas para otras finalidades o la supresión de estos datos cuando no sean necesarios para las finalidades para las que fueron recabados.

Asimismo, la AEPD ha expuesto que, con anterioridad a llevar a cabo este tratamiento de datos, se debe realizar una Evaluación de Impacto que permita realizar el análisis de idoneidad, necesidad y proporcionalidad del mismo.

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido