Protección de Datos prohíbe los sistemas biométricos salvo casos excepcionales que justifiquen su uso
La Agencia Española de Protección de Datos publicó en noviembre la Guía de Tratamientos de control de presencia mediante sistemas biométricos. La Guía fija los criterios para la utilización de la biometría (huellas digitales, el iris del ojo, el reconocimiento facial, la voz, etcétera), para el control de acceso, tanto con fines laborales como no laborales, y establece las medidas a tener en cuenta para que el tratamiento de datos personales que utilice esta tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) entre otras normativas.
Los sistemas biométricos y el tratamiento de los datos que se pueden obtener a partir de los mismos están evolucionando muy rápidamente. Los nuevos sistemas aumentan el detalle de la información recogida e incluso permiten recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello. A ello se suma el desarrollo de la inteligencia artificial, que puede utilizarse para aportar información adicional sobre las personas. En este sentido, la Agencia considera el tratamiento de datos biométricos como un tratamiento de “alto riesgo”, tanto para identificación como para autenticación, que incluye “categorías especiales de datos”.
Según el RGPD, para poder tratar esas categorías debe existir una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
En el caso del registro de la jornada y el control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo lleva a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
La Guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.
En todo caso si se pretenden captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria una Evaluación de Impacto para la Protección de Datos en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Por último, se deberán implantar determinadas medidas si se superan todos los requisitos del RGPD:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
En conclusión, la Agencia considera prohibidos los sistemas biométricos salvo que exista una circunstancia excepcional que justifique su uso de forma preferente a los sistemas que no usan datos “de alto riesgo”. Al imponerse un sistema biométrico como control horario o presencial en las empresas “se produce un desequilibrio de poder entre empleado y empleador que hace que este consentimiento no se proporcione libremente” y recuerda el regulador que “el tratamiento de datos biométricos, tanto para identificación como para autenticación” es “un tratamiento de alto riesgo que incluye categorías especiales de datos”, no aceptándose como circunstancia que levante la prohibición de su tratamiento la ventaja económica o sencillez de su implantación.
El nuevo criterio de la AEPD ha puesto en situación de incumplimiento por infracción grave a muchas empresas, que pueden afrontar expedientes sancionadores con multas en torno a los 20.000 euros, sin descartar la exigencia de indemnizaciones de daños y perjuicios por vía laboral de sus empleados.
Imagen de Susanne Plank para Pexels