Este 23 de noviembre, la AEPD ha actualizado su criterio sobre el tratamiento de los datos biométricos (huellas dactilares, reconocimiento facial, etc.) para el control de acceso, tanto en el ámbito laboral como en otros ámbitos, y ha publicado la Guía sobre tratamientos de control de presencia mediante sistemas biométricos.
Pero, ¿qué dice esta nueva guía y cómo hemos llegado aquí?
Te lo explicamos a continuación:
Antecedentes
Este año, el Consejo Europeo de Protección de Datos (CEPD), como órgano interpretativo del RGPD, ha consolidado directrices definitivas (Guidelines 5/2022) sobre el uso de las huellas y reconocimiento facial en el ámbito de seguridad pública. En esencia, estas directrices determinan que las operaciones de tratamiento consistentes en la identificación y la autenticación biométricas necesariamente tienen que ser consideradas tratamientos de categorías especiales de datos – es decir, datos más sensibles.
Te puede interesar: Datos biométricos: ¿Qué son y cómo tratarlos según la ley de protección de datos?
Antes de esta decisión, la AEPD argumentaba que la comparación de la identidad afirmada por un individuo (autenticación) no constituía un tratamiento de datos sensibles, ya que no se realizaba una identificación per se del sujeto (uno-a-varios), sino que solo se comprobaba que realmente era quien decía ser, tal como pasa cuando introducimos una contraseña después de nuestro usuario que ya nos identifica.
Después de la revisión de esta postura por parte del CEPD, el Informe 98/2022 del Gabinete Jurídico de la AEPD ya se apuntó este cambio en la aproximación al tratamiento de los datos biométricos, incidiendo particularmente en su aplicación en el ámbito laboral.
Pero, ¿qué ha dicho la AEPD exactamente?
Conoce la Guía de la AEPD sobre el uso de los datos biométricos para el control de acceso en el entorno laboral y no laboral
1 | Principio de minimización de datos
Siguiendo los preceptos de la normativa de protección de datos, hay que recoger solo los datos estrictamente necesarios para el objetivo perseguido.
Respecto a esto, la AEPD indica en su Guía que “los nuevos sistemas (biométricos) aumentan el detalle de la información recogida, permiten la posibilidad de recoger información sin la cooperación de la persona, a veces sin ser consciente” como, por ejemplo, la temperatura o la presión sanguínea.
Por lo tanto, el objetivo principal del registro de la jornada laboral tiene que centrarse en contabilizar las horas efectivamente trabajadas, pero no en el tratamiento de datos biométricos en sí mismo. Además, se tienen que priorizar, siempre que sea posible, alternativas menos intrusivas para los derechos y libertades de los trabajadores.
2 | Licitud del tratamiento
Para considerar lícito un tratamiento de datos, tenemos que disponer de una justificación bastante sólida para hacerlo (obligación legal, consentimiento del interesado, ejecución de contrato, etc.).
En cuanto al registro de la jornada laboral, a pesar de estar apoyado por el Real Decreto Ley 8/2019 y la posibilidad de pedir consentimiento para el uso de datos biométricos, la AEPD subraya:
- Actualmente, no existe ninguna ley en el Estado que exija explícitamente el uso de datos biométricos para el control de la jornada, así que esta razón no es suficiente para justificar el tratamiento.
- Del mismo modo, aunque se pida consentimiento, este puede considerarse inválido en el contexto laboral, donde no hay equilibrio de poder entre empresa y trabajador. Según la AEPD, si se ofrece al trabajador varias opciones de fichaje (huella o tarjeta magnética, por ejemplo) para conseguir un consentimiento libre y válido, se estará afirmando inevitablemente que existen otras opciones menos invasivas, y, por lo tanto, aplicará otra vez el principio de minimización de datos.
3 | Análisis de necesidad y proporcionalidad
En caso de existir alguna justificación (licitud) para recoger solo los datos biométricos esenciales (minimización), el tratamiento también tendría que superar el análisis de proporcionalidad y necesidad. Es decir, se tiene que demostrar que no hay ninguna otra alternativa más adecuada para lograr el objetivo propuesto, garantizando que la medida sea proporcionada respecto al impacto que tiene sobre los datos de carácter especial.
4 | Datos biométricos fuera del ámbito laboral
¿Y qué pasa en caso de tratamientos de datos biométricos para finalidades no laborales? La respuesta de la AEPD es simple: debemos atenernos a los mismos criterios.
Conclusión
Desde la óptica actual de la AEPD, se recomienda evitar el tratamiento de datos biométricos, especialmente en relación con el registro de jornada laboral. Esto se debe a que, en gran parte de los casos, no se encuentra una justificación adecuada o una base legal suficiente para la gestión de estos datos, considerados sensibles.