La Agencia Española de Protección de Datos (AEPD) publicó el 23 de noviembre de 2023, una Guía sobre la utilización de datos biométricos para el control de presencia y acceso.
Este documento contiene los criterios para la utilización de la biometría, tanto en entornos laborales como no laborales, recogiéndose en el mismo que la utilización de datos biométricos supone un tratamiento de categorías especiales de datos de alto riesgo y para los cuáles el Reglamento General de Protección de Datos impone límites estrictos para el tratamiento de estas categorías de datos, y la superación del análisis de idoneidad, necesidad y proporcionalidad.
¿Qué son datos biométricos?
Los datos biométricos son características físicas o conductuales únicas de un individuo que pueden ser utilizadas para identificarlo de manera precisa y automática. Estos datos incluyen, pero no se limitan a, las siguientes categorías:
Datos biométricos físicos
Incluyen rasgos físicos innatos de una persona, tales como:
- Huellas dactilares: Patrones únicos en las yemas de los dedos.
- Reconocimiento facial: Características faciales distintivas.
- Iris y retina: Patrones únicos en el ojo.
- Geometría de la mano y venas: Forma de la mano y patrones de las venas.
- ADN: Secuencia genética única de un individuo.
Datos biométricos de comportamiento
Se refieren a patrones únicos en las actividades de una persona, como:
- Patrón de voz: Características únicas de la voz.
- Dinámica de tecleo: Forma en que una persona teclea en un teclado.
- Patrón de andar: La manera específica en que una persona camina.
Estos datos se utilizan comúnmente para propósitos de seguridad y autenticación, como en sistemas de control de acceso, identificación personal en dispositivos móviles, y en procedimientos de seguridad en aeropuertos y otras instalaciones. La biometría ofrece una forma más segura y conveniente de identificación en comparación con los métodos tradicionales, como las contraseñas, ya que los datos biométricos son extremadamente difíciles de replicar o robar. Sin embargo, su uso también plantea cuestiones importantes relacionadas con la privacidad y la seguridad de los datos, ya que una vez comprometidos, a diferencia de las contraseñas, los atributos biométricos no pueden cambiarse fácilmente.
Implicaciones legales y requisitos para el tratamiento de datos biométricos
La AEPD considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Según lo recogido en el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
En el caso del registro de la jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, la entidad responsable debe contar con una norma con rango de ley que autorice específicamente a utilizar los datos biométricos para dicha finalidad. En el ámbito fuera del laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo.
Desafíos y consideraciones en la implementación de sistemas biométricos
Los sistemas de control biométrico de registro y de control de acceso desde que se obligó a las entidades a través del Real Decreto-Ley 8/2019, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, a llevar un registro de la jornada laboral de los empleados han sido un punto con cierta polémica y aunque su normativa ha estado sujeta a guías, normativas e incluso leyes, que han ido cambiando desde sus inicios, las mismas han ido generando en repetidas ocasiones una cierta inseguridad jurídica.
La AEPD considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos, algo que según lo recogido en el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
- En el caso del registro de la jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, la entidad responsable debe contar con una norma con rango de ley que autorice específicamente a utilizar los datos biométricos para dicha finalidad. En este sentido la AEPD especifica que, en estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud para poder tratar esta información, al existir un desequilibrio entre la persona a la que se somete al tratamiento y la entidad responsable que lo está llevando a cabo.
- En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
En la Guía sobre tratamientos de control de presencia mediante sistemas biométricos también se establecen restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.
En esta guía ya se especifica el carácter de “categoría especial” para este tipo de uso de los datos biométricos, y en sus artículos IV y V se desvincula a esa forma de control de acceso su carácter “necesario” que obliga el RGPD y deja patente que es imposible superar el requisito de necesidad establecido para realizar estos tratamientos, aun contando con el consentimiento de los trabajadores, por lo que al no poder cumplir estos criterios, el reconocimiento de huella dactilar o facial queda declarado prohibido con carácter general, salvo en los escasos supuestos recogidos en el artículo 9 del RGPD (interés público, sanitario, de seguridad pública, etc.).
Asimismo la Guía establece que, en el caso de querer captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Por último, la AEPD también añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:
- Informar debidamente a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otros propósitos diferentes.
- Utilizar algún sistema de cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos por defecto y desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
Es por ello por lo que, como se puede apreciar, la AEPD a través de su Guía pone en entredicho la utilización de estas tecnologías, apartándose del criterio que mantenía hasta ahora de que no se trataba de una medida excesiva, debido a que la ley permitía a las entidades empleadoras supervisar el cumplimiento horario de los trabajadores y sobre la utilización de dicha tecnología no existía limitación a través de ninguna norma o ley, por lo que su uso era totalmente legítimo, por lo que a partir de ahora, salvo en los casos en los que se pueda demostrar por parte de la entidad la necesidad de adoptar esta medida, la utilización de esta tecnología para justificar el uso de la huella dactilar o del reconocimiento facial para fichar debe ser descartada ya que justificar dicha necesidad va a ser una tarea bastante complicada hasta que se modifique el marco jurídico (sea reformando las leyes, sea por la vía de los convenios colectivos).
Con la nueva interpretación de la AEPD, debería sustituirse un sistema de registro de huella dactilar o por reconocimiento facial por una persona que controle y verifique el acceso o cualquier otro sistema de que no implique el uso de sus datos biométricos y se debería tener en cuenta la utilización de otras alternativas menos intrusivas con la privacidad de las personas para cumplir con estos fines de control de accesos (como por ejemplo podrían ser la utilización de tarjetas inteligentes, certificados digitales, etc). Su aplicación es inmediata, por lo que cualquier empresa que utilice este sistema de reconocimiento biométrico en 2023 puede ser sancionada por la AEPD, sin importar que cuando se instalara dicho sistema fuera legal.
Podemos concluir que, mientras los datos biométricos ofrecen soluciones avanzadas para la identificación y seguridad, es crucial manejarlos con cautela y responsabilidad, dada su naturaleza sensible y permanente. Las directrices de la AEPD de 2023 subrayan la importancia de cumplir con los estándares legales y éticos en el tratamiento de estos datos.
Si tienes dudas o buscas asesoramiento específico sobre cómo implementar prácticas de gestión de datos biométricos de manera segura y conforme a la ley, no dudes en contactar con Protection Report. Nuestro equipo de expertos está preparado para proporcionarte la orientación y el apoyo necesarios para asegurar que tu uso de datos biométricos sea responsable y conforme a la normativa vigente.