BLOG

Lee los últimos
artículos

La AEPD publica una nueva guía sobre el uso de los datos biométricos
Portada - L’AEPD publica una nova guia sobre la utilització de les dades biomètriques

Este 23 de noviembre, la AEPD ha actualizado su criterio sobre el tratamiento de los datos biométricos (huellas dactilares, reconocimiento facial, etc.) para el control de acceso, tanto en el ámbito laboral como en otros ámbitos, y ha publicado la Guía sobre tratamientos de control de presencia mediante sistemas biométricos.

Pero, ¿qué dice esta nueva guía y cómo hemos llegado aquí?

Te lo explicamos a continuación:

Antecedentes

Este año, el Consejo Europeo de Protección de Datos (CEPD), como órgano interpretativo del RGPD, ha consolidado directrices definitivas (Guidelines 5/2022) sobre el uso de las huellas y reconocimiento facial en el ámbito de seguridad pública. En esencia, estas directrices determinan que las operaciones de tratamiento consistentes en la identificación y la autenticación biométricas necesariamente tienen que ser consideradas tratamientos de categorías especiales de datos – es decir, datos más sensibles.

Te puede interesar: Datos biométricos: ¿Qué son y cómo tratarlos según la ley de protección de datos?

Antes de esta decisión, la AEPD argumentaba que la comparación de la identidad afirmada por un individuo (autenticación) no constituía un tratamiento de datos sensibles, ya que no se realizaba una identificación per se del sujeto (uno-a-varios), sino que solo se comprobaba que realmente era quien decía ser, tal como pasa cuando introducimos una contraseña después de nuestro usuario que ya nos identifica.

Después de la revisión de esta postura por parte del CEPD, el Informe 98/2022 del Gabinete Jurídico de la AEPD ya se apuntó este cambio en la aproximación al tratamiento de los datos biométricos, incidiendo particularmente en su aplicación en el ámbito laboral.

Pero, ¿qué ha dicho la AEPD exactamente?

Conoce la Guía de la AEPD sobre el uso de los datos biométricos para el control de acceso en el entorno laboral y no laboral

1 | Principio de minimización de datos

Siguiendo los preceptos de la normativa de protección de datos, hay que recoger solo los datos estrictamente necesarios para el objetivo perseguido.

Respecto a esto, la AEPD indica en su Guía que “los nuevos sistemas (biométricos) aumentan el detalle de la información recogida, permiten la posibilidad de recoger información sin la cooperación de la persona, a veces sin ser consciente” como, por ejemplo, la temperatura o la presión sanguínea.

Por lo tanto, el objetivo principal del registro de la jornada laboral tiene que centrarse en contabilizar las horas efectivamente trabajadas, pero no en el tratamiento de datos biométricos en sí mismo. Además, se tienen que priorizar, siempre que sea posible, alternativas menos intrusivas para los derechos y libertades de los trabajadores.

2 | Licitud del tratamiento

Para considerar lícito un tratamiento de datos, tenemos que disponer de una justificación bastante sólida para hacerlo (obligación legal, consentimiento del interesado, ejecución de contrato, etc.).

En cuanto al registro de la jornada laboral, a pesar de estar apoyado por el Real Decreto Ley 8/2019 y la posibilidad de pedir consentimiento para el uso de datos biométricos, la AEPD subraya:

  • Actualmente, no existe ninguna ley en el Estado que exija explícitamente el uso de datos biométricos para el control de la jornada, así que esta razón no es suficiente para justificar el tratamiento.
  • Del mismo modo, aunque se pida consentimiento, este puede considerarse inválido en el contexto laboral, donde no hay equilibrio de poder entre empresa y trabajador. Según la AEPD, si se ofrece al trabajador varias opciones de fichaje (huella o tarjeta magnética, por ejemplo) para conseguir un consentimiento libre y válido, se estará afirmando inevitablemente que existen otras opciones menos invasivas, y, por lo tanto, aplicará otra vez el principio de minimización de datos.

3 | Análisis de necesidad y proporcionalidad

En caso de existir alguna justificación (licitud) para recoger solo los datos biométricos esenciales (minimización), el tratamiento también tendría que superar el análisis de proporcionalidad y necesidad. Es decir, se tiene que demostrar que no hay ninguna otra alternativa más adecuada para lograr el objetivo propuesto, garantizando que la medida sea proporcionada respecto al impacto que tiene sobre los datos de carácter especial.

4 | Datos biométricos fuera del ámbito laboral

¿Y qué pasa en caso de tratamientos de datos biométricos para finalidades no laborales? La respuesta de la AEPD es simple: debemos atenernos a los mismos criterios.

Conclusión

Desde la óptica actual de la AEPD, se recomienda evitar el tratamiento de datos biométricos, especialmente en relación con el registro de jornada laboral. Esto se debe a que, en gran parte de los casos, no se encuentra una justificación adecuada o una base legal suficiente para la gestión de estos datos, considerados sensibles.

Categorías

Buscador

Últimos post

Tags

Noticias de interés

Suscríbete a nuestro boletín semanal

Sin spam,
notificaciones sólo de actualizaciones.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: ON4 SERVICIOS Y FORMACIÓN, S.L.

Finalidad: Enviarle información sobre los productos y servicios ofertados que puedan ser de su interés, así como informarle de aquellos eventos en los que ON4 SERVICIOS Y FORMACIÓN S.L. participa u organiza.

Legitimación: por consentimiento del interesado.

Termino de conservación: el legalmente establecido de acuerdo con la finalidad por la que han sido recogidos.

Destinatarios: No se cederán datos a terceros, salvo en los casos en que exista obligación legal.

Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, tal y como se detalla en la información adicional.

Ubicación: Puede consultar la información adicional y detallada sobre Protección de Datos en los apartados POLÍTICA DE PRIVACIDAD y AVISO LEGAL situados en esta misma web.