La Agencia Española de Protección de Datos publica una guía sobre control de presencia mediante sistemas biométricos

28-11-2023 — AR/2023/131

La Agencia expone en esta guía criterios para tratar datos personales con sistemas biométricos, en el ámbito laboral y fuera de él, y las medidas que deben tomarse en estos casos, para cumplir con los principios del reglamento general de protección de datos.

La Agencia Española de Protección de Datos (AEPD) ha publicado en su página web, el  23-11-2023, una guía sobre cómo tratar el control de presencia mediante sistemas biométricos.1

Este documento:

  • fija los criterios para utilizar la biometría en el control de acceso, con fines laborales o no, y
  • recoge las medidas para que un tratamiento de datos personales que utilice esa tecnología cumpla con el reglamento general de protección de datos (RGPD)2 y otras normas.

Los sistemas biométricos y los tratamientos de los datos recogidos con ellos evolucionan muy rápidamente. Pueden incluso recopilar datos sin la cooperación de la persona y sin que esta sea consciente de ello.

A esta circunstancia se le suma el desarrollo de la inteligencia artificial, con la que se puede inferir información adicional sobre las personas.

Por estas razones, la Agencia considera que debe definir medidas para que un tratamiento de datos personales basado en sistemas biométricos cumpla con el RGPD y con otras normas, como el futuro reglamento sobre inteligencia artificial.

Comentamos con brevedad los aspectos más relevantes de la guía.

Control de presencia con técnicas biométricas

Los responsables del tratamiento de datos sobre el control de presencia mediante técnicas biométricas de identificación o autenticación han de tener en cuenta los siguientes aspectos:

  1. La utilización de estas tecnologías supone un tratamiento de gran riesgo que incluye categorías especiales de datos.
  2. En el tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño y aplicar medidas alternativas equivalentes, menos intrusivas y que procesen solo los datos estrictamente necesarios.
  3. Es preciso evidenciar una circunstancia que justifique levantar la prohibición de tratar las categorías especiales de datos y, además, una condición que legitime el tratamiento.

Levantamiento de la prohibición en el ámbito laboral

Hasta ahora, el levantamiento de la prohibición para el registro de jornada y el control de acceso con fines laborales se basaba en el artículo 9.2.b),referido al artículo 20.3 del Estatuto de los Trabajadores, que permite al empresario tomar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Ahora, la AEPD expone en la guía que:

  1. el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, norma que no existe hoy en el Derecho español.
  2. El consentimiento en este ámbito laboral para registrar la jornada o controlar el acceso no puede levantar la prohibición del tratamiento ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento.

Levantamiento de la prohibición fuera del ámbito laboral

Para controlar el acceso fuera del ámbito laboral, no son circunstancias que levanten la prohibición (artículo 9.2 del RGPD) ni un contrato ni el consentimiento al tratarse de un tratamiento de alto riesgo.

El levantamiento tendría que superar el requisito de necesidad para este tratamiento.

Consideraciones adicionales

Resaltamos las siguientes

  1. Para legitimar cualquier utilización de los datos biométricos con finalidades adicionales a la de control de presencia han de considerarse sus propias circunstancias y condiciones para levantar la prohibición.
  2. En este tratamiento de control de presencia basado en el proceso biométrico, no se pueden tomar decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre el interesado o lo afecten significativamente, salvo que:
    • se dé la circunstancia de un interés público esencial basado en una norma con rango de ley, proporcional al objetivo perseguido, que respete en lo esencial el derecho a la protección de datos, y
    • se apliquen medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
  3. Si el sistema biométrico se implementa con técnicas de inteligencia artificial, el tratamiento ha de tener en cuenta las prohibiciones, limitaciones y exigencias de la normativa de inteligencia artificial.
  4. En cualquier caso, es obligatorio que, antes de iniciar el tratamiento:
    • supere una evaluación de impacto para la protección de datos, y
    • en esta evaluación se acredite y documente que supera el triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.

Medidas de seguridad en el tratamiento de datos biométricos

La AEPD recoge en esta guía medidas que deben aplicarse en el tratamiento si este supera todos los requisitos para cumplir con los principios del RGPD.

Estas medidas son de garantías organizativas, técnicas y jurídicas. En concreto, han de aplicarse al menos las siguientes:

  1. Recomendar que el individuo sea consciente, incluso exigiendo una acción positiva para iniciar el procesamiento, de:
    • los datos biométricos que se van a recopilar,
    • los riesgos elevados asociados a él.
  2. Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
  3. Implantar medios técnicos para asegurar la imposibilidad de utilizar las plantillas para cualquier otro propósito.
  4. No emplear, preferentemente, un almacenamiento centralizado de las plantillas biométricas.
  5. Cifrar los datos para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
  6. Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  7. Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento o implantar mecanismos automatizados de supresión de datos.
  8. Minimizar los datos biométricos recogidos, con una evaluación objetiva de que no hay posibilidad de revelar categorías especiales de datos adicionales.
  9. Utilizar dispositivos bajo el control exclusivo de los usuarios para usar tecnologías biométricas .
1 Agencia Española de Protección de Datos (AEPD): «Guía sobre tratamientos de control de presencia mediante sistemas biométricos», noviembre de 2023 (disponible en documento vinculado).
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
3 Este apartado recoge: «b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado».
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información