La Agencia Española de Protección de Datos (AEPD) publica una guía sobre el empleo de datos de carácter biométrico para el control de presencia y acceso al puesto de trabajo o centro de los trabajadores
Los sistemas biométricos de control de acceso o de presencia representan uno de los métodos más efectivos para la identificación de individuos y el registro de la jornada laboral en empresas.
La dinámica de registro de la jornada laboral experimentó un cambio significativo con la pandemia de coronavirus. El aumento del teletrabajo y la irrupción de la inteligencia artificial ha generado la necesidad de adaptar y modernizar los métodos de fichaje, destacando la relevancia del control de acceso biométrico, que puede utilizarse desde cualquier ubicación y en cualquier momento.
La implementación de la tecnología de control horario, control de asistencia mediante huella, etc., ha posibilitado el registro de la jornada laboral de manera remota para todos los empleados de una empresa. Esta flexibilidad ha permitido mantener la continuidad operativa incluso en medio de una pandemia global, eliminando la necesidad de asistir físicamente a la oficina.
El problema surge cuando al prestar nuestros datos biométricos a la empresa para establecer dichos sistemas de control de acceso y presencia: ¿Cuándo puede la empresa exigir prestarlos? ¿Qué puede la empresa hacer y qué no con ellos?
La guía de la AEPD
La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía Tratamientos de control de presencia mediante sistemas biométricos, un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) entre otras normativas. Puedes descargar la guía en formato pdf haciendo clic aquí.
Los sistemas biométricos y el tratamiento de los datos que se pueden obtener a partir de ellos están evolucionando muy rápidamente. Los nuevos sistemas aumentan el detalle de la información recogida e incluso permiten la posibilidad de recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello. A ello se suma el desarrollo de la inteligencia artificial, que puede utilizarse para inferir información adicional sobre las personas.
El tratamiento de datos biométricos, de alto riesgo
La Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Tal y como establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
Registro con fines laborales o fuera del ámbito laboral
En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
La Guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.
En todo caso, la Guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
¿Qué medidas de seguir?
La AEPD incluye medidas a seguir si se cumplen todos los requisitos de los principios del RGPD:
- Informar a las personas sobre el tratamiento biométrico y los riesgos asociados.
- Implementar la revocación del vínculo entre la plantilla biométrica y la persona.
- Utilizar medios técnicos para evitar el uso indebido de las plantillas.
- Aplicar cifrado para proteger la confidencialidad, disponibilidad e integridad de las plantillas.
- Emplear formatos o tecnologías que impidan la interconexión de bases de datos biométricos y la divulgación no autorizada.
- Eliminar los datos biométricos no vinculados a la finalidad del tratamiento.
- Implementar protección de datos desde el diseño.
- Aplicar la minimización de datos con una evaluación objetiva de la ausencia de tratamiento de categorías especiales.
¿Empresario o trabajador, quieres que más información? En Moya&Emery estamos para ayudarte
Navega por nuestro blog para conocer más sobre tus derechos y obligaciones como empresario o como trabajador y, no lo dudes, ponte en contacto con nosotros en cualquiera de nuestras oficinas de Calvià o Palma y estaremos encantados de atenderte y brindarte el asesoramiento que necesitas:
DATOS DE CONTACTO
Envía un correo a info@moyaemery.com
O rellena nuestro formulario y nos pondremos en contacto contigo.
También puedes visitar nuestras oficinas:
C/ Pere Dezcallar i Net, 11 (Palma)
C/ Córdoba, 2 (Son Caliu)
