La Agencia Española de Protección de Datos (AEPD) publicó, el pasado 24 de noviembre de 2023, una nueva Guía para regular los tratamientos de control de presencia mediante los sistemas biométricos (sistemas de control horario y controles de acceso a las instalaciones), ya sea por reconocimiento facial, dactilar, mediante el iris, etc.

Con esta nueva Guía, la AEPD se posiciona, por fin, en este sentido, tras hacerlo muchas otras autoridades de control.

Se debe recordar que, con carácter general, el Reglamento (UE) 2016/679, de 27 de abril de 2016, del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), prohíbe este tipo de tratamientos al considerarlos datos de categoría especial, a no ser que concurra algunas de las excepciones que el mismo RGPD estipula.

Tras la publicación de esta nueva Guía, la AEPD considera que:

  • El tratamiento de datos biométricos, tanto para la identificación como para la autenticación, es un tratamiento de alto riesgo que incluye categorías especiales de datos. Según establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
  • En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en cumplir obligaciones o ejercer derechos en el ámbito del Derecho Laboral y de la seguridad y protección social se debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La AEPD indica, en este sentido, que no tiene cabida alegar el art. 20.3 del Estatuto de los Trabajadores (control de acceso) ni el 34.9 del mismo cuerpo legal (control horario, control de presencia o fichaje), ya que no considera estos preceptos legales como suficientes. Así, pues, deberá existir una norma que permita el levantamiento de esta prohibición que hasta la fecha no existe o que algún Convenio Colectivo se aventure a regularlo.
  • Siguiendo en el ámbito laboral, tampoco considera la AEPD que el consentimiento sea una base de legitimación para levantar la prohibición ya que presupone que el trabajador no puede otorgarlo libremente al tener la empresa una posición de dominio frente a la persona trabajadora.
  • En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco puede levantar la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad.

Si pese a ello se pretende realizar este tipo de tratamientos biométricos, la Guía indica que, con carácter previo al inicio del tratamiento, se deberá realizar una evaluación de impacto que acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.

Por último, y una vez superado todos los requisitos anteriores, se deberán cumplir con las siguientes medidas:

  • Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
  • Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
  • Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
  • Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
  • Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
  • Implementar la protección de datos desde el diseño.

Si tiene cualquier duda o pregunta al respecto, ¡nuestro equipo de Protección de Datos está a su disposición!