A finales del pasado año, se conoció que la Agencia Española de Protección de Datos publicó una guía sobre la utilización de datos biométricos, fijando los criterios sobre dicha tecnología tanto con fines laborales como no laborales. Además, se vino a poner en cuestión su utilización para permitir el control de presencia y acceso a centros de trabajo.
Las primera multa que conocemos es de 27.000€ a un gimnasio por utilizar esta tecnología para el acceso a sus instalaciones.
Según la Agencia Española de Protección de Datos, ¿qué son los datos biométricos?
Los datos biométricos son datos personales relativos a las características únicas del ser humano, sean físicas, fisiológicas o asociadas al comportamiento, que faciliten y garanticen la identificación de un individuo mediante sistemas o procedimientos tecnológicos. Por ejemplo: reconocimiento facial, huella o voz.
Según el reglamento general de protección de datos, estos datos son categorías especiales de datos, y su tratamiento está prohibido de base, salvo excepciones recogidas en el art. 9.2 RGPD.
Entonces, ¿se han modificado los criterios de identificación y autenticación?
Las bases del cambio de criterio se centra en que la AEPD modifica en su «Guía de Tratamientos de control de presencia mediante sistemas biométricos» respecto a los conceptos de identificación y autenticación. En el anterior guía de relaciones laborales, se admitía que la autenticación no conllevaba un tratamiento de categorías especiales de datos.
Ahora, y con el objeto de tener unos planteamientos armonizados con los criterios del Comité Europeo de Protección de Datos en sus Directrices 05/2022, entiende que ambos tratamientos (identificación y autenticación) conllevan el tratamiento de datos especialmente protegidos, resultando tratamiento de alto riesgo para los derechos de los usuarios.
Consecuencias del cambio de escenario para las empresas
En este sentido, con el nuevo criterio adoptado, las empresas que tuviesen implementados sistemas de autenticación, para los que la base de legitimación válida en ese momento era cualquiera de las generales del art. 6 del Reglamento, ahora deben buscar una base de legitimación del artículo 9.2 del RGPD que levante la prohibición general, siendo mucho más restrictivas, cabiendo en estos supuestos como base legitimadora:
- La existencia de una norma de rango legal que obligue a la empresa a tratar esos datos (9.2.b del RGPD).
- El consentimiento explícito del interesado (empleado o tercero que acceda a las instalaciones), en virtud del artículo 9.2 del RGPD.
Actualmente no hay ley que obligue al tratamiento de datos biométricos, por tanto, se descartaría la primera opción solo quedando el consentimiento que pasa de ser expreso a explícito.
La AEPD adopta en su nueva guía que, para el supuesto de registro de jornada y que pueda darse un consentimiento libre a un tratamiento de datos biométricos, se debe poner a disposición del trabajador de una alternativa de libre elección para cumplir con dicha obligación (las tarjetas). Precisamente por eso, si hay alternativa no se justificaría la recogida por datos biométricos ni se estaría cumpliendo con el principio de minimización de datos recogido en el artículo 5.1.c del RGPD.
No obstante, la AEPD sí considera adecuado el tratamiento de los datos biométricos para el control de acceso basado en el consentimiento de los interesados siempre que se justificase que el medio alternativo ofrecido a los empleados o terceros no es equivalente al del control biométrico. Además de necesario, debe resultar idóneo para la finalidad prevista, así como proporcionado en sentido estricto (que el uso de datos biométricos no solo resulte beneficioso para el empresario sino que también ofrezca beneficios para el trabajador).
Conclusiones
Las conclusiones de la AEPD establecerían que:
- Para poder legitimar el tratamiento de los datos biométricos, la empresa debe poder acreditar objetivamente que dichos sistemas de tratamiento son necesarios, idóneos, proporcionales y no hay alternativa menos lesiva (realizando análisis de riesgos, evaluación de impacto, idoneidad, necesidad y proporcionalidad).
- Las acreditaciones factibles resultarían, o bien por su inclusión a través de Convenio colectivo, o por justificarse por condiciones de seguridad por motivos específicos (previa todas las evaluaciones como en el punto anterior).
- No se prohíbe de facto el control biométrico, si bien impone requisitos que dificultan mucho su viabilidad.
De cualquier modo, habrá que estar pendiente de futuras aclaraciones y recomendaciones del mismo órgano (AEPD) a la vista del calado e implicaciones que, en ámbito empresarial, supone este cambio de criterio.
Nota informativa redactada por Tourism & Law.