El pasado 23 de noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos (la “Guía”)en la que se detallan los estrictos límites que las empresas deben tener en consideración para usar la biometría para el control de acceso, tanto con fines laborales como no laborales.
¿Qué son los datos biométricos? ¿Por qué requieren de una especial protección?
El Reglamento General de Protección de Datos (RGPD) define en su artículo 4.2 los «datos biométricos» como: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Entre otros, tienen la consideración de datos biométricos los derivados del reconocimiento facial y las huellas dactilares.
La obtención de datos biométricos requiere de especial protección puesto que recogen información personal y sensible, que permite singularizar a un individuo sin necesidad de recibir su consentimiento, e incluso a veces, sin conocimiento de éste.
¿Cuál es la finalidad de la Guía publicada por la AEPD?
El artículo 9 del RGDP prohíbe con carácter general el tratamiento de aquellas informaciones incluidas en “las categorías especiales de datos personales”, entre las que se encuentran los datos biométricos. Para poder tratar las categorías especiales de datos es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
La Guía tiene como finalidad establecer los requisitos que deben cumplir las empresas que decidan incorporar sistemas biométricos, de modo que garanticen el cumplimiento de los principios del RGPD en relación con los derechos y libertades de las personas físicas.
¿Cuándo podrían usarse datos biométricos para el registro de jornada y control de acceso? Levantamiento de la prohibición. Aplicación de las excepciones recogidas en los artículos 9.2.b) y 9.2.a) del RGPD.
La Guía trata específicamente el uso de datos biométricos para el registro de jornada y control de acceso con fines laborales. En estos casos, el responsable del tratamiento tiene la obligación de valorar detalladamente y con diligencia si existe una razón sólida para tratar categorías especiales enumeradas en el artículo 9.2 del RGPD.
La AEPD aclara que podrán usarse datos biométricos cuando exista una necesidadque se pueda demostrar mediante evidencias objetivas, tales como:
- La imposibilidad de utilizar otros sistemas de registro.
- La inadecuación de otros sistemas de registro, cuando éstos no sean equivalentes al del control biométrico (la finalidad perseguida de control de acceso no se alcanzaría del mismo modo).
- La esencialidad del sistema biométrico para satisfacer la finalidad de registro de presencia.
- La proporcionalidad del tratamiento.
Por otra parte, la AEPD trata algunos supuestos que, en sí mismos, no justificarían el uso de datos biométricos:
- Norma de rango legal. Se ha planteado si la existencia de una norma de rango legal, como la Ley de Control de Jornada Laboral de 2019 que contiene la obligatoriedad del registro de jornada, podría justificar el levantamiento de la prohibición (art. 9.2.b) RGPD). La AEPD concluye que “en la actual normativa legal española no se contiene autorización suficiente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo”.
- Consentimiento del trabajador. La Guía analiza si el levantamiento de la prohibición del tratamiento de datos biométricos puede realizarse por la prestación del consentimiento explícito del interesado (art. 9.2.a) RGPD). En relación con esta opción, la AEPD recuerda que en un tratamiento de jornada implementado por técnicas biométricas el consentimiento del interesado no levanta la prohibición del tratamiento, con carácter general, al existir una situación de desequilibrio entre el responsable del tratamiento, como ocurre en el ámbito laboral.
- Ahorro de la empresa. La AEPD señala que el ahorro económico de la empresa no es justificación suficiente para el uso de datos biométricos para el control de jornada frente a otros sistemas.
¿Pueden usarse datos biométricos fuera del ámbito laboral para el control de accesos?
Respecto al control de accesos fuera del ámbito laboral, la AEPD recuerda que el consentimiento debe ser libre, específico, informado e inequívoco. El responsable deberá establecer un método alternativo para poder realizar el control de acceso, sin tener ninguna consecuencia para la persona que no quiera utilizar el control de acceso mediante datos biométricos. Además, deberá demostrarse la necesidad objetiva, ponderando la necesidad de implementar dicho sistema en relación con otras alternativas que impliquen un menor riesgo en los derechos y libertades de las personas físicas.
¿Qué análisis debe hacer una empresa para determinar si puede usar datos biométricos para el control de jornada?
La Guía precisa con carácter previo a cualquier decisión de implantación de un sistema de control de presencia a través de sistemas biométricos deberán superarse favorablemente:
- Un análisis de riesgos (art. 24.1 RGPD) y del diseño (art. 25 RGPD).
- Una evaluación de impacto para la protección de datos.
- Un test de idoneidad y necesidad.
Requisitos adicionales para el uso de datos biométricos
La Guía recoge un listado de medidas que deben cumplirse en caso de que se cumplan todos los principios del RGPD para el uso de datos biométricos en línea con los señalado en la Guía:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos
Conclusiones
- Con carácter general, está prohibido el tratamiento de datos incluidos en categorías especiales, entre las que se encuentran los datos biométricos. La utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo.
- No obstante, podrían usarse datos biométricos y levantarse la prohibición de tratamiento de datos de categorías especiales en caso de que concurran determinados requisitos y se cumpla con los principios del RGPD, aclarados en la Guía.
- En la Guía la AEPD aclara que podrán usarse datos biométrico cuando se justifique la necesidad mediante evidencias objetivas. En cambio, no se considera motivo suficiente la concurrencia de la siguientes circunstancias para levantar la prohibición de uso de datos biométricos con fines laborales: consentimiento del trabajador, existencia de una norma que imponga el registro de jornada o el ahorro de costes para la empresa.
- En la implementación del tratamiento de control de presencia debe cumplirse con el principio de minimización. Si existen sistemas alternativos de registro de jornada menos intrusivos que los sistemas biométricos y que, por tanto, implican un menor riesgo para los derechos y libertades de las personas, no quedaría justificada la necesidad de tratamiento de datos biométricos.
- La Guía no prohíbe expresamente el tratamiento de datos biométricos para el control de jornada en el ámbito laboral, pero impone requisitos exigentes para poder utilizarlos.
