Autor: Eric Gracia. Abogado en Derecho.com
El 23 de noviembre de 2023 la Agencia Española de Protección de Datos (en adelante, “AEPD”) publicó su Guía sobre tratamientos de control de presencia mediante sistemas biométricos, la cual tiene un importante impacto para todas aquellas empresas que tengan implementado, o piensen implementar, un sistema de control de presencia basado en biometría.
A continuación vamos a analizar la cuestión:
Primero.- El control de presencia comprende diferentes actividades de tratamiento de datos personales, tanto en el ámbito laboral como fuera de él.
Ámbito laboral:
a) Registro diario de jornada (fundamentado en art. 34.9 del Estatuto de los Trabajadores).
b) Control de acceso para supervisar la entrada y/o salida a las instalaciones de la empresa (fundamentado en art. 20.3 del Estatuto de los Trabajadores).
Ámbito no laboral:
Control de acceso para supervisar el acceso de usuarios o clientes a determinados recintos o espacios (a veces fundamentado en la ejecución de un contrato para el disfrute de un servicio).
Segundo.- Existen sistemas biométricos para llevar a cabo dichas actividades de tratamiento, los cuales suponen realizar operaciones de identificación (proceso por el cual se reconoce a un individuo particular dentro de un grupo) y/o autenticación (proceso de probar que es cierta la identidad reclamada por un individuo, comparándose los datos del individuo únicamente con los datos asociados a la identidad reclamada), tratando para ello datos personales biométricos (lectura de huella dactilar; reconocimiento facial; etc.).
Tercero.- Aunque el sistema biométrico haga una primera lectura de la huella o la cara pero después sólo guarde una plantilla biométrica creada a partir de dicha lectura (es decir, no la cara o la huella como tales), dicha plantilla biométrica debe considerarse como un identificador único, es decir, un dato personal.
Cuarto.- La AEPD entiende que tanto la identificación como la autenticación biométricas suponen realizar un tratamiento de categorías especiales de datos personales (hasta ahora la AEPD decía que la autenticación no). Por tanto, en todos los casos es necesario encontrar una base legitimadora de las previstas en el artículo 9.2 del RGPD para levantar la prohibición general de tratar categorías especiales de datos, siendo ese el problema tal y como ahora veremos.
Quinto.- Artículo 9.2.b del RGPD. La AEPD indica que actualmente no existe norma alguna que concrete la posibilidad de utilizar datos biométricos para el registro diario de jornada o el control de acceso, por lo que esta base legitimadora no es aplicable.
Sexto.- Artículo 9.2.a del RGPD. En un primer momento la AEPD considera que el consentimiento como base legitimadora podría funcionar si efectivamente fuese libre para el interesado, es decir, si a éste se le ofreciera la posibilidad de someterse al registro diario de jornada o al control de acceso de otra forma que no implicase el tratamiento de datos biométricos. No obstante, esta base legitimadora queda finalmente descartada al entender la AEPD que, en tal caso, estaríamos admitiendo que el registro diario de jornada y/o el control de acceso pueden llevarse a cabo sin biometría y, por tanto, con menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar. Si el tratamiento de datos biométricos no es necesario, su puesta en funcionamiento sería contraria al principio de minimización de datos (art. 5.1.c del RGPD) y no superaría la evaluación de necesidad prevista en el artículo 35.7.b del RGPD.
Séptimo.- Aunque la AEPD no entra a analizar su aplicación, ninguna de las otras bases legitimadoras previstas en el artículo 9.2 del RGPD parece aplicable a los supuestos examinados.
Octavo.- En vista de lo anterior, en el momento actual no parece existir base legitimadora del artículo 9.2 del RGPD que permita levantar la prohibición general de tratar categorías especiales de datos en el caso del uso de la biometría para el control de presencia en los supuestos analizados. Por tanto, por seguridad jurídica, las empresas deberían llevar a cabo las actividades de tratamiento de registro diario de jornada y/o control de acceso sin biometría, utilizando en su lugar alguna de las soluciones menos intrusivas que la propia AEPD apunta en su guía (tarjetas identificativas; control mediante personal destinado a tal efecto; contraseñas; etc.).
Si necesitas asistencia legal sobre éste u otros asuntos, puedes contactar con nosotros escribiéndonos a legal@derecho.com
Disculpa, debes iniciar sesión para escribir un comentario.