Tratamiento datos biométricos para fines de control de jornada y acceso - Dataplus consulting

Tratamiento datos biométricos para fines de control de jornada y acceso

Tratamiento datos biométricos para fines de control de jornada y acceso

Tratamiento datos biométricos para fines de control de jornada y acceso

La Agencia Española de Protección de Datos (AEPD) el pasado 23 de noviembre publicó una guía sobre tratamientos de control de presencia mediante sistemas biométricos donde fijó los criterios de uso de datos biométricos para fines de control de jornada y control de acceso tanto con fines laborales como no laborales.

Tal y como define el órgano en el documento mencionado, los sistemas de procesamiento de datos biométricos se basan en recoger y procesar datos personales relativos a las características físicas, fisiológicas o conductuales de las personas físicas, mediante dispositivos o sensores, creando plantillas biométricas. Estos sistemas han sido utilizados por muchas empresas para cumplir con la obligación de control de jornada del personal laboral o como medida de seguridad para control de acceso. Los datos biométricos son considerados datos de salud, por lo tanto, se encuentran recogidos en el artículo 9 del RGPD como datos especiales.

La Agencia informa que el uso de datos biométricos con fines laborales no solo necesita de una habilitación legal, también debe ser necesario (tanto para fines laborales o no), idóneo y proporcional. En cuanto al consentimiento, la Agencia entiende que no puede captarse un consentimiento voluntario, dado que la propia relación existente entre ambas partes crea una situación de desequilibrio de poder, lo que produce que el consentimiento no se preste voluntariamente.

Volviendo a los requisitos de necesidad e idoneidad, para cumplir con el primer requisito debe ser el tratamiento con menor riesgo posible, es decir, que no se pueda realizar por otro mecanismo que conlleve un menor riesgo, lo que imposibilita de manera casi total el tratamiento mediante sistema biométricos. Tal y como se informa en el documento:

“Nuevamente, se señala que debe realizarse un análisis previo sobre la necesidad de dicho tratamiento para la consecución de la finalidad pretendida por el responsable del tratamiento, en el sentido de que no haya otro medio igual de eficaz y menos intrusivo, antes de la implantación de cualquier sistema; y todo ello debe de ser evaluado desde el Principio de protección de datos desde el diseño, focalizando el análisis en los derechos y libertades de las personas cuyos datos se van a tratar, dentro de ese primer paso.”

Si existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo (...) deja de ser necesario para la implementación del tratamiento, por lo tanto, no sería válido.
Por lo tanto, hay que tener en cuenta, como expresa la Agencia, que, si existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar el procesamiento de datos biométricos deja de ser necesario para la implementación del tratamiento, por lo tanto, no sería válido. Lo que imposibilita, como se ha mencionado, casi en su totalidad, el uso de sistemas de tales características.

 

A parte de lo mencionado, la agencia establece obligaciones antes de poner en ejecución el tratamiento de datos mediante sistemas biométricos. Es necesario realizar de manera previa una evaluación de impacto, donde se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad. También, Informar a los trabajadores, o personas si no se está en un entorno laboral, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo, implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física. Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito, utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica, etc.

La evolución tecnológica conlleva también cambios a nivel normativo, por ello es fundamental contar con un equipo legal especializado en protección de datos. Es importante recibir un asesoramiento especializado.

Si te ha gustado este artículo, no te puedes perder: El desafío de la privacidad en la era de la inteligencia artificial.



Abrir chat
1
¿Necesitas ayuda?
DataPlus Consulting
Hola 👋
¿en qué podemos ayudarte?