La Agencia Española de Protección de Datos (AEPD) publicó el pasado noviembre la GUÍA TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS EN LAS EMPRESAS, la cual ha provocado que cambie drásticamente el criterio que había hasta ahora para el tratamiento y uso de datos biométricos en el ámbito laboral, principalmente para el control de presencia de los trabajadores.
Desde la resolución de 2019 es obligatorio llevar un control horario de los trabajadores, para ello parte de las empresas han instalado sistemas de registro con el uso de sistemas biométricos (huella dactilar, facial, iris, capilar, etc…) de los empleados para el cumplimiento de esta obligación. Sin embargo, la AEPD entiende que ante la rápida evolución de la inteligencia artificial, el uso de los sistemas biométricos, permiten la posibilidad de recabar información sin el conocimiento ni cooperación de la persona, de ahí, que AEPD haya publicado un documento donde se fijan los nuevos criterios ( https://www.aepd.es/documento/guia-control-presencia-biometrico.pdf ) de uso de esta tecnología tanto con fines laborales como no laborales.
Estos nuevos criterios fijan la utilización de la biometría para el control de acceso, implicando un fuerte endurecimiento de los requisitos para poder utilizar datos biométricos con fines de control de presencia, ya que supone un tratamiento de categorías especiales de datos de alto riesgo, estableciendo medidas para que el tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPF).
La Guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos ( https://www.aepd.es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf ), en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Si se superan todos los requisitos de cumplimiento de los principios del RGPD, la Agencia ha añadido un listado de medidas:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos
Es por ello que, recomendamos a las empresas que actualmente utilizan datos biométricos para el control de presencia de sus trabajadores, que se pongan en contacto con la empresa encargada de su protección de datos para que puedan asesorarles y ustedes puedan valorar las distintas alternativas existentes para cumplir con la obligación legal para el control de presencia de la jornada laboral.
Nuestro equipo de Lealtadis Abogados y Lealtadis Asesores de empresa queda a vuestra disposición para cualquier consulta.
Departamento Asesoría laboral
María del Carmen García Ruiz