El pasado jueves, día 23 de noviembre 2023, la AEPD publicó una guía donde cambia drásticamente de criterio en la cuestión relativa al tratamiento y uso de datos biométricos para estas finalidades (https://www.aepd.es/documento/guia-control-presencia-biometrico-nov-2023.pdf).
Entre otras cuestiones, se indica que la utilización de datos biométricos supone un tratamiento de categorías especiales de datos de alto riesgo y que el RGPD impone límites estrictos para el tratamiento de categorías especiales de datos, y la superación del análisis de idoneidad, necesidad y proporcionalidad.
Con relación al uso de los datos biométricos para el de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición del tratamiento de datos biométricos del RGPD se basa en el artículo 9.2.b) del citado reglamento, la entidad responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad.
La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
En definitiva, estos nuevos criterios implican que los sistemas de biometría (ya sea huella dactilar, facial, iris, ocular, capilar…) con finalidades de control de accesos laborales o control de presencia no pueden utilizarse en España, ya que:
-
Los sistemas biométricos no pueden imponerse por obligación legal (por ahora, no hay ley española que lo habilite).
-
Los sistemas biométricos tampoco podrán articularse mediante el consentimiento de las personas interesadas, puesto que con los nuevos criterios también se invalida el uso por consentimiento de los empleados.
Todavía están por determinarse las implicaciones de este cambio de criterio, pero, en definitiva, la conclusión por ahora sería que los sistemas de control de presencia o de accesos con fines laborales que utilicen biometría tienen que dejar de utilizarse, puesto que hasta ahora podían legitimarse y articularse en base a una obligación legal de registrar la jornada laboral (lo cual ya no es válido) o por el consentimiento de la persona (tampoco está permitido con los nuevos criterios).
Estamos a la espera en ver si hay algún pronunciamiento más, puesto que esto es reciente y un cambio muy drástico y ni siquiera se ha anunciado plazo alguno para adaptarse a estos nuevos criterios. Por ahora recomendamos revisar si el sistema actual puede seguir utilizándose sin biometría (por ejemplo, con tarjetas o códigos) o empezar a valorar alternativas para gestionar el control de presencia o control de accesos laboral sin utilizar biometría.
Os dejamos enlace al texto completo de la guía aquí:
https://www.aepd.es/documento/guia-control-presencia-biometrico-nov-2023.pdf
Por último, la Agencia también añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:
-
Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
-
Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
-
Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
-
Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
-
Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
-
Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
-
Implementar la protección de datos desde el diseño.
-
Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
Información proporcionada por Ana Marzo, socia en EQUIPO MARZO, uno de los mejores gabinetes de abogados sobre Propiedad Intelectual y Protección de Datos.