Aquest 23 de novembre, l’AEPD ha actualitzat el seu criteri sobre el tractament de les dades biomètriques (empremtes dactilars, reconeixement facial, etc.) per al control d’accés, tant en l’àmbit laboral com en altres àmbits, i ha publicat la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics.
Però, què diu aquesta nova guia i com hem arribat aquí?
T’ho expliquem a continuació:
Antecedents
Aquest any, el Consell Europeu de Protecció de Dades (CEPD), com a òrgan interpretatiu del RGPD, ha consolidat directrius definitives (Guidelines 5/2022) sobre l’ús de les empremtes i reconeixement facial en l’àmbit de seguretat pública. En essència, aquestes directrius determinen que les operacions de tractament consistents en la identificació i l’autentificació biomètriques necessàriament han de ser considerades tractaments de categories especials de dades – és a dir, dades més sensibles.
Et pot interessar: Dades biomètriques: Què són i com tractar-les segons la llei de protecció de dades?
Abans d’aquesta decisió, l’AEPD argumentava que la comparació de la identitat afirmada per un individu (autentificació) no constituïa un tractament de dades sensibles, ja que no es realitzava una identificació per se del subjecte (un-a-diversos), sinó que només es comprovava que realment és qui deia ser, tal com passa quan introduïm una contrasenya després del nostre usuari que ja ens identifica.
Després de la revisió d’aquesta postura per part del CEPD, l’Informe 98/2022 del Gabinet Jurídic de l’AEPD ja es va apuntar aquest canvi en l’aproximació al tractament de les dades biomètriques, incidint particularment en la seva aplicació en l’àmbit laboral.
Però, què ha dit l’AEPD exactament?
Coneix la Guia de l’AEPD sobre la utilització de les dades biomètriques per al control d’accés en l’entorn laboral i no laboral
1 | Principi de minimització de dades
Seguint els preceptes de la normativa de protecció de dades, cal recollir només les dades estrictament necessàries per a l’objectiu perseguit.
Respecte a això, l’AEPD indica en la seva Guia que “els nous sistemes (biomètrics) augmenten el detall de la informació recollida, permeten la possibilitat de recollir informació sense la cooperació de la persona, a vegades sense ser-ne conscient”, com ara la temperatura o la pressió sanguínia.
Per tant, l’objectiu principal del registre de la jornada laboral ha de centrar-se en comptabilitzar les hores efectivament treballades, però no en el tractament de dades biomètriques en sí mateix. A més, s’han de prioritzar, sempre que sigui possible, alternatives menys intrusives per als drets i llibertats dels treballadors.
2 | Licitud del tractament
Per tal de considerar lícit un tractament de dades, hem de disposar d’una justificació prou sòlida per a fer-ho (obligació legal, consentiment de l’interessat, execució de contracte, etc.).
Pel que fa al registre de la jornada laboral, malgrat estar recolzat pel Reial Decret Llei 8/2019 i la possibilitat de demanar consentiment per a l’ús de dades biomètriques, l’AEPD subratlla:
- Actualment, no existeix cap llei a l’Estat que exigeixi explícitament l’ús de dades biomètriques per al control de la jornada, així que aquesta raó no és suficient per justificar el tractament.
- De la mateixa manera, encara que es demani consentiment, aquest pot considerar-se invàlid en el context laboral, on no hi ha equilibri de poder entre empresa i treballador. Segons l’AEPD, si s’ofereix al treballador diverses opcions de fitxatge (empremta o targeta magnètica, per exemple) per aconseguir un consentiment lliure i vàlid,s’estarà afirmant inevitablement que existeixen altres opcions menys invasives, i, per tant, aplicarà altre cop el principi de minimització de dades.
3 | Anàlisi de necessitat i proporcionalitat
En cas d’existir alguna justificació (licitud) per a recollir només les dades biomètriques essencials (minimització), el tractament també hauria de superar l’anàlisi de proporcionalitat i necessitat. És a dir, s’ha de demostrar que no hi ha cap altra alternativa més adequada per assolir l’objectiu proposat, garantint que la mesura sigui proporcionada respecte a l’impacte que té sobre les dades de caràcter especial.
4 | Dades biomètriques fora de l’àmbit laboral
I què passa en cas de tractaments de dades biomètriques per a finalitats no laborals? La resposta de l’AEPD és simple: hem d’atenir-nos als mateixos criteris.
Conclusió
Des de l’òptica actual de l’AEPD, es recomana evitar el tractament de dades biomètriques, especialment en relació amb el registre de jornada laboral. Això es deu a que, en gran part dels casos, no es troba una justificació adequada o una base legal suficient per a la gestió d’aquestes dades, considerades sensibles.