La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía Tratamientos de control de presencia mediante sistemas biométricos. Se trata de un documento que fija una serie de criterios para proteger los datos y privacidad de las personas en el empleo de biometría en los controles de accesos. Entre otras cuestiones, el documento diferencia entre los fines laborales y no laborales de estos controles y desgrana las medidas oportunas para que el tratamiento de los datos personales de una persona cumpla con el Reglamento General de Protección de Datos (RGPD).
La AEPD considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Tal y como establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
Fines laborables y no laborables
Si los sistemas biométricos tienen un fin laboral, como el registro de jornada y el control de acceso, y el levantamiento de la prohibición se basa en el articulo 9.2.b) del RGPD, el responsable del uso del sistema biométrico debe estar autorizado a utilizar los datos para esta finalidad mediante una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad.
Además, la AEPD especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.
Por ello, fuera del ámbito laboral, el consentimiento tampoco será suficiente para levantar dicha prohibición. Esto se debe a que se considera un tratamiento de alto riesgo y no supera el requisito de necesidad. La guía también contiene restricciones cuando en los tratamientos biológicos se toman decisiones automatizadas sin intervención humana que tienen efectos jurídicos sobre la persona afectada.
Medidas en caso de que se cumplan los principios del RGPD
En todo caso, la guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una evaluación de Impacto para la Protección de Datos. Además, la AEDP señala una serie de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:
- Informar a las personas sobre el tratamiento biométrico y los riesgos asociados al mismo.
- Implementar la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
Acceda a la guía completa de la AEPD.
Archivado en: