La Agencia Española de Protección de Datos (AEPD) ha dado un paso significativo en la regulación y supervisión del uso de datos biométricos con la publicación de la «Guía sobre tratamientos de control de presencia mediante sistemas biométricos». Este documento proporciona directrices claras y precisas para la utilización de la biometría en el control de acceso, abarcando tanto aplicaciones laborales como no laborales, y establece medidas esenciales para garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y otras normativas pertinentes.
Avances tecnológicos y riesgos emergentes
Los sistemas biométricos han experimentado avances notables en los últimos años, lo que ha llevado a una mayor recopilación de información y, en ocasiones, a la obtención de datos sin el conocimiento o consentimiento de los individuos. La integración de la inteligencia artificial en estos sistemas ha ampliado aún más su capacidad para inferir información adicional sobre las personas.
La AEPD reconoce que el tratamiento de datos biométricos, ya sea para la identificación o la autenticación, entraña un alto riesgo al involucrar categorías especiales de datos. Según lo estipulado en el RGPD, el tratamiento de estas categorías requiere condiciones específicas para su legitimación.
Regulación y limitaciones
Previo al inicio del tratamiento biométrico, se requiere una Evaluación de Impacto para la Protección de Datos que demuestre la idoneidad, necesidad y proporcionalidad del tratamiento, entre otros aspectos.
En el contexto del registro de jornada y el control de acceso en entornos laborales, se debe cumplir con el artículo 9.2.b) del RGPD, lo que implica contar con una norma con rango de ley que autorice explícitamente el uso de datos biométricos para estas finalidades. En este caso, el consentimiento no puede justificar el tratamiento debido al desequilibrio de poder entre la persona sometida al control y el responsable del tratamiento.
Cuando se trata del control de accesos en contextos no laborales, el consentimiento tampoco es suficiente para legitimar el tratamiento, ya que se considera de alto riesgo y no cumple con el requisito de necesidad (artículo 35.7.b).
La guía también aclara las restricciones para los tratamientos biométricos que involucran decisiones automatizadas sin intervención humana que tengan efectos legales o impactos significativos en las personas.
Medidas para Cumplir con el RGPD
La AEPD presenta un conjunto de medidas que deben implementarse cuando se superan todos los requisitos de cumplimiento de los principios del RGPD:
- Informar a las personas sobre el tratamiento biométrico y los riesgos asociados.
- Implementar la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Establecer medios técnicos para evitar el uso indebido de las plantillas biométricas.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de las plantillas biométricas.
- Emplear formatos de datos o tecnologías que eviten la interconexión de bases de datos biométricos y la divulgación no autorizada de datos.
- Suprimir los datos biométricos cuando ya no sean necesarios para la finalidad original.
- Integrar la protección de datos desde la fase de diseño.
- Aplicar la minimización de los datos recopilados y realizar una evaluación objetiva para evitar el tratamiento de categorías especiales de datos.
La guía emitida por la AEPD constituye una herramienta fundamental para asegurar una apropiada gestión de datos biométricos en los sistemas de control de presencia y acceso, alentando un equilibrio entre el avance tecnológico y la salvaguardia de la privacidad de los individuos. Adherirse a estas directrices se convierte en un imperativo ineludible para salvaguardar la integridad de los derechos personales y para cumplir rigurosamente con las disposiciones legales de protección de datos.
