La Agencia Española de Protección de Datos (AEPD) publicó el 23 de noviembre de 2023 la guía «Tratamientos de control de presencia mediante sistemas biométricos».
En el documento de la AEPD establecen criterios para el uso de la biometría en el control de acceso y presencia, tanto en el ámbito laboral como fuera de él, para asegurar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y otras normativas relevantes.
Tratamiento de datos de sistemas biométricos
El tratamiento de datos de sistemas biométricos es considerado de alto riesgo por la AEPD, incluyendo categorías especiales de información. Según el RGPD, para tratar estas categorías, se requiere una circunstancia que levante la prohibición de su tratamiento y una condición que lo legitime. En el ámbito laboral, el uso de datos biométricos para el registro de jornada y control de acceso debe estar respaldado por una norma con rango de ley, y el consentimiento del individuo no es suficiente para legitimar su uso debido al desequilibrio entre el empleado y el empleador.
Fuera del ámbito laboral, el consentimiento tampoco puede levantar la prohibición de tratamiento de datos biométricos, especialmente si no supera el requisito de necesidad. Además, se establecen restricciones en tratamientos de datos biométricos que implican decisiones automatizadas sin intervención humana que afecten significativamente a las personas.
Propuestas recopiladas en la guía de la AEPD
La guía también exige realizar una «Evaluación de Impacto para la Protección de Datos» antes de captar datos biométricos. Esta evaluación debe demostrar la idoneidad, necesidad y proporcionalidad del tratamiento.
Finalmente, la guía detalla medidas para garantizar la conformidad con los principios del RGPD:
- Informar sobre el tratamiento biométrico y sus riesgos.
- Permitir revocar el vínculo entre la plantilla biométrica y la persona física.
- Implementar medidas técnicas para evitar el uso indebido de las plantillas.
- Usar cifrado para proteger la plantilla biométrica.
- Utilizar formatos o tecnologías que impidan la interconexión de bases de datos biométricas y la divulgación de datos no comprobada.
- Eliminar los datos biométricos cuando no sean necesarios para su finalidad original.
- Aplicar la protección de datos desde el diseño.
- Minimizar los datos recogidos, asegurando que no se traten categorías especiales de datos sin justificación.