Ana Marzo. Equipo Marzo. Auditores y Abogados de Nuevas Tecnologías
Casi cinco años después de la aprobación del Reglamento General de Protección de Datos UE (RGPD) parece que se va dando «forma» a las condiciones en que se permite el tratamiento de datos de carácter personal de naturaleza a través de sistemas biométricos y, en particular, para tratamientos cuya finalidad es llevar a cabo el control de acceso y el control horario.
Así, como se desprende de la doctrina de la Agencia Española de Protección de Datos (AEPD). El RGPD no parece considerar a todo tratamiento de datos biométricos como tratamiento de categorías especiales de datos, ya que el artículo 9.1. se refiere a los «datos biométricos dirigidos a identificar de manera unívoca a una persona física», por lo que, de una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos, en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.
En el mismo sentido, parece que igualmente se pronuncia el Considerando 51 del RGPD al señalar que «El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física».
En su Resolución E07273-2020 de archivo de actuaciones la AEPD pone de manifiesto que, al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos, puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, de forma que:
La identificación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
La verificación/autenticación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
Esta misma diferenciación se recoge en el libro blanco sobre la Inteligencia Artificial de la Comisión Europea cuando en su nota pie núm. 56 explica que: «En lo que se refiere al reconocimiento facial, por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La «autenticación» (o «verificación»), por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma. Este procedimiento se emplea, por ejemplo, en las puertas de control automatizado de fronteras empleadas en los controles fronterizos de los aeropuertos».
En todo caso, y a criterio de la AEPD, el tratamiento de datos biométricos requiere, además de la concurrencia de alguna de las bases jurídicas establecidas en el artículo 6 del RGPD, alguna de las excepciones previstas en el artículo 9.2 del RGPD.
Así, tanto el tratamiento de datos biométricos de empleados laborales como de empleados públicos es posible con fines laborales para llevar a cabo el control de acceso y el control horario, en virtud del artículo 6.1.b) del RGPD que dispone que el tratamiento de datos se realiza para el cumplimiento de relaciones contractuales (en este caso de carácter laboral) en relación con el artículo 9.2.b) del RGPD, según el cual la prohibición general de tratamiento de datos biométricos no será de aplicación cuando «el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado».
Sistemas basados en datos biométricos
No obstante, aunque según la AEPD es innegable la posibilidad de utilización de sistemas basados en datos biométricos para llevar a cabo el control de acceso y horario, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo y teniendo en cuenta sus implicaciones, es preceptivo llevar a cabo el cumplimiento de las siguientes obligaciones por parte de la entidad responsable:
-Establecer el Registro de Actividades de Tratamiento.
-Llevar a cabo una Evaluación de Impacto relativa a la protección de datos de carácter personal para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos de conformidad con lo señalado en el artículo 35 RGPD.
–Informar al empleado sobre estos tratamientos en los términos del artículo 13 del RGPD.
–Deben respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.
–Verificar que el tratamiento es adecuado, pertinente y no excesivo en relación con la finalidad de control de acceso y control horario. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos (Dictamen 3/2012 del Grupo de Trabajo del art. 29).
–Los datos biométricos deben ser almacenados como plantillas biométricas siempre que sea posible. La plantilla debe extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.
-El sistema biométrico utilizado y las medidas de seguridad elegidas deben asegurar que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.
-Deben utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.
-Los sistemas biométricos deben diseñarse de modo que se pueda revocar el vínculo de identidad.
-Debe optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
Y finalmente, los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.
Con todas estas garantías, podrá acreditarse que la actuación del responsable en relación con el tratamiento de datos biométricos para control de acceso y horario de su personal, es acorde con la normativa sobre protección de datos personales.