NUEVAS DIRECTRICES DE INTERPRETACIÓN DE LA AEPD SOBRE EL CONTROL PRESENCIAL MEDIANTE DATOS BIOMÉTRICOS

La AEPD ha destacado que tanto para el control de acceso laboral, registro de jornada laboral y control de acceso en ámbitos no laborales, el tratamiento de datos biométricos no está justificado, dado que existen métodos menos invasivos que puedan resultar igual de útiles.

En este sentido, explica la Agencia que el control de acceso y el registro de jornada llevan siendo utilizados en España desde hace décadas, por lo que no es posible tratar de justificar que hoy en día es necesario llevar a cabo ese control mediante la identificación de huella dactilar, tratando datos sensibles, cuando puede hacerse perfectamente a través del uso de tarjetas de identificación o de personal humano que identifique a las personas. Este motivo, el hecho de que no cumple con el principio de minimización de los datos, es suficiente para que la Agencia estime que ninguno de esos tratamientos puede ser válido como norma general.

Además, también estipula que la legislación laboral no ampara el uso de datos biométricos para el control de los empleados y que tampoco es suficiente la existencia del consentimiento del interesado, puesto que no aplica en relaciones laborales al existir desigualdad entre las partes y, en la mayoría de casos, en los ámbitos no laborales es necesario prestar dicho consentimiento para poder acceder al servicio.

Las conclusiones a las que llega la Agencia respecto de la implementación de estos sistemas para llevar a cabo el control de acceso son las siguientes:

1.- Alto Riesgo y Categorías Especiales de Datos:
-La utilización de tecnologías biométricas para control de presencia implica un tratamiento de alto riesgo
que incluye categorías especiales de datos.

2.- Principios de Minimización y Protección de Datos:
-Cumplir con los principios de minimización y protección de datos desde el diseño, optando por medidas
alternativas menos intrusivas.

3.- Condiciones para el Tratamiento de Datos:
-Necesidad de una base legal específica para utilizar datos biométricos con fines laborales.
-En el ámbito laboral, el consentimiento no es válido para legitimar el tratamiento debido al desequilibrio
entre empleado y empleador.
-Fuera del ámbito laboral, el consentimiento y la ejecución de un contrato no son bases válidas para el
tratamiento de datos biométricos.

4.- Finalidades Adicionales:
-Cualquier uso adicional de los datos biométricos debe tener bases legales propias y específicas.

5.- Prohibición de Decisiones Automatizadas:
-No se pueden tomar decisiones automatizadas con efectos jurídicos significativos basadas únicamente
en el tratamiento biométrico, salvo que exista un interés público esencial y una norma con rango de ley.

6.- Uso de Inteligencia Artificial:
-Si se emplea inteligencia artificial, deben considerarse las prohibiciones y exigencias específicas de la
normativa de inteligencia artificial.

7.- Evaluación de Impacto para la Protección de Datos:
-Obligatoriedad de realizar una Evaluación de Impacto antes del inicio del tratamiento, incluyendo el
análisis de idoneidad, necesidad y proporcionalidad.

8.- Medidas Organizativas, Técnicas y Jurídicas:
-Informar sobre el tratamiento biométrico y los riesgos asociados.
-Posibilidad de revocar el vínculo de identidad con la plantilla biométrica.
-Imposibilitar el uso de plantillas para otros fines.
-Utilizar cifrado y tecnologías específicas para proteger los datos.
-Eliminar los datos biométricos que no cumplan con la finalidad de su recolección.
-Aplicar la minimización en la recogida de datos biométricos.
-Incluir garantías en los convenios colectivos en el ámbito laboral.

9.- Revisión y Actualización:
-Las acciones y medidas implementadas deben ser revisadas y actualizadas regularmente.