Este documento, de vital importancia en el ámbito laboral y no laboral, establece criterios y medidas con el fin de garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y otras normativas en materia de protección de datos personales.
La Agencia Española de Protección de Datos (AEPD) ha dado un paso significativo en la regulación y supervisión de la utilización de sistemas biométricos para el control de acceso, al publicar la «Guía Tratamientos de control de presencia mediante sistemas biométricos». Este documento, de vital importancia en el ámbito laboral y no laboral, establece criterios y medidas con el fin de garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y otras normativas en materia de protección de datos personales.
La evolución vertiginosa de los sistemas biométricos y el tratamiento de datos obtenidos a partir de ellos ha desencadenado un incremento en la captación de información detallada, incluso sin la cooperación consciente de la persona. A esta complejidad se suma el progreso de la inteligencia artificial, que puede inferir datos adicionales sobre los individuos.
La AEPD considera el tratamiento de datos biométricos como un procedimiento de alto riesgo, incluyendo categorías especiales de datos, lo que exige condiciones especiales para su tratamiento y legitimación, tal como establece el RGPD.
En el contexto laboral, para el registro de jornada y el control de acceso, la Guía subraya la necesidad de contar con una normativa legal específica que autorice el uso de datos biométricos, si este se basa en el artículo 9.2.b del RGPD. En este sentido, el consentimiento no es un fundamento adecuado para legitimar este tipo de tratamiento, dado el desequilibrio existente entre la persona y la entidad que lleva a cabo el tratamiento.
Por otro lado, en el ámbito no laboral, como el control de accesos, el consentimiento tampoco puede ser la base para legitimar el tratamiento debido a su naturaleza de alto riesgo y a la falta de cumplimiento del requisito de necesidad según el artículo 35.7.b del RGPD.
La Guía de la AEPD también restringe los tratamientos biométricos que toman decisiones automatizadas sin intervención humana, especialmente cuando estas decisiones puedan tener efectos jurídicos significativos o afectar a la persona de manera importante.
En todos los casos, la Guía destaca la obligatoriedad de realizar una Evaluación de Impacto para la Protección de Datos previa al inicio del tratamiento de datos biométricos. Esta evaluación deberá incluir un análisis detallado sobre la idoneidad, necesidad y proporcionalidad del tratamiento.
Finalmente, la AEPD detalla una serie de medidas que deben implementarse si se cumplen todos los requisitos de los principios del RGPD:
- Informar a las personas sobre el tratamiento biométrico y sus riesgos asociados.
- Implementar la posibilidad de revocar el vínculo entre la plantilla biométrica y la persona.
- Garantizar la imposibilidad de utilizar las plantillas biométricas para otros fines.
- Emplear cifrado para proteger la confidencialidad y la integridad de las plantillas.
- Utilizar tecnologías específicas para evitar la interconexión de bases de datos biométricos y la divulgación no autorizada de datos.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad original del tratamiento.
- Aplicar la protección de datos desde el diseño.
- Minimizar la recopilación de datos, asegurando la objetividad en la evaluación para evitar tratamientos de categorías especiales de datos.
Estas directrices de la AEPD refuerzan el marco legal y ético en la utilización de sistemas biométricos, promoviendo su uso responsable y garantizando la protección de los datos personales de los individuos.