La guía sobre control de presencia biométrico que ha publicado la Agencia Española de Protección de Datos -en adelante AEPD-, es un paso bastante grande para disipar dudas sobre el tratamiento del dato biométrico en el tratamiento de datos de control de presencia. Pese a la claridad del nuevo criterio, que además se alinea con el del Comité Europeo de Protección de datos, es muy relevante el endurecimiento de la posición de la AEPD y con ello de la limitación de las legitimaciones hasta ahora utilizadas para realizarlo.
Las guías de la AEPD son un recurso de enorme utilidad para ampliar información sobre temas de relevancia en protección de datos, o para definir el criterio de la autoridad; aunque se supone que no tienen criterio vinculante, la existencia de la instrucción 1/2021 eleva el listón de la necesidad de cumplir con lo que se recoge en ellas.
En este post, hacemos un repaso general por los puntos clave de esta nueva guía y te ofrecemos las conclusiones que la AEPD aporta. Te recomendamos en todo caso un análisis detenido de la misma si por algún motivo te afecta.
Tratamiento de datos biométricos y plantillas biométricas
Hay muchos ejemplos de datos biométricos: el iris, la huella dactilar, la cara u otras características físicas de una persona… La tecnología ha avanzado tanto que, muchas veces, cuando se usan datos de este tipo, ni siquiera somos conscientes de ello ni de sus posibilidades a nivel de identificación, seguimiento y perfilado.
Estos datos hacen posible la identificación o autenticación de una persona: identificar permite para distinguir a esa persona de otros individuos; y autenticar, tal como se explica en el Reglamento eIDAS, es el proceso electrónico a través del cual se consigue esto.
Para lograr lo anterior, es indispensable definir la plantilla biométrica: una forma de escritura que hace posible que la característica biométrica humana pueda ser interpretada por una máquina, para conseguir un fin concreto. De este modo, la plantilla es un identificador único.
Control de presencia: modalidades y mínimos a cumplir
Cuando realizamos alguna acción encaminada a establecer controles sobre la presencia de una persona, independientemente de con qué fin lo llevemos a cabo, esa acción tendrá que cumplir con la normativa de protección de datos personales
¿Qué opciones de control de presencia existen?
- Registro de jornada. Previsto en el art. 34 del Estatuto de los Trabajadores, a fin de cumplir límites en la jornada laboral y crear un entorno jurídicamente seguro para empleados y empresas.
- Control de acceso con fines laborales. Previsto en el art. 20.3 de la misma norma, como parte de las facultades de vigilancia y control que tiene el empresario
- Control de acceso con otros fines. Por ejemplo, para el disfrute de algún servicio.
Cuando implantamos un control de presencia, independientemente de en qué modalidad, es fundamental cumplir los principios consagrados con el RGPD, en especial, el principio de minimización de datos, que se define como la obligación de usar solo los datos exclusivamente necesarios para conseguir el fin perseguido.
La AEPD nos recuerda que esto es especialmente importante cuando tratamos datos biométricos. El mercado actual está lleno de tecnología que ofrece infinitas posibilidades, y es fácil dejarse llevar por tantas opciones, pero que tener cuidado en no excederse: si podemos conseguir el mismo fin con una medida o sistema menos intrusivo, habrá que hacerlo.
¿Está prohibido tratar datos biométricos?
El art. 9 RGPD establece la prohibición general de tratar determinados datos, a los que se denomina “de categoría especial”. Entre ellos, están los datos biométricos, tanto si se emplean en un proceso de identificación como en uno de autenticación.
Para levantar esa prohibición general, es fundamental que concurra alguna de las excepciones previstas en el art. 9.2 RGPD. Y, por si ya estabas barajando opciones en tu cabeza, ya te adelantamos que el interés legítimo o la ejecución de un contrato no están dentro de ellas.
Entonces, ¿cómo puedo implantar un método de control de presencia que use biometría sin incumplir la normativa vigente sobre protección de datos?
Si tienes previsto implantar un sistema biométrico, debes ser capaz de justificar por qué ya no es posible seguir utilizando el sistema que venías empleando hasta el momento. Y no solo has de probar que el uso de técnicas biométricas es necesario para conseguir tus fines, sino que, además, sea esencial.
Como la AEPD nos recuerda, algunas acciones fundamentales para conseguir todo esto son:
- Realizar una evaluación de riesgos
- Realizar una Evaluación de Impacto en la Protección de Datos. Si te interesa saber más, en su día publicamos este post sobre la guía que la AEPD tiene al respecto.
- Superar el juicio de idoneidad, necesidad y proporcionalidad del tratamiento
Además, es imprescindible que busques una causa que justifique el levantamiento de la prohibición prevista en el art. 9 RGPD. Y esto nos lleva, inevitablemente, a la siguiente pregunta: ¿a qué circunstancia puedo aferrarme?
En este sentido, la AEPD es rotunda, señalando que:
- Registro y control con fines laborales. Si lo hacemos con este fin, inicialmente podríamos plantearnos recurrir a solicitar el consentimiento del interesado. Hablamos de un consentimiento que no aplicaría al hecho de registrar la jornada en sí, que es una obligación legal, sino al tratamiento de datos biométricos para ello.
Lo que ocurre es que el consentimiento, según el RGPD, debe ser libre, y en el ámbito laboral no convence mucho recurrir a él, ya que se presume que siempre existe desequilibrio entre empleador y empleado, que rompería dicha libertad.
Esto, sin embargo, no cierra la puerta a que el consentimiento en el ámbito laboral pueda otorgarse libremente. Ello se conseguiría, por ejemplo, ofreciendo alternativas a los trabajadores: quien quiera fichar haciendo uso de la opción que emplea biometría, puede hacerlo; quien no, puede optar por otro medio.
¿El problema de lo anterior? Pues que ofrecer alternativas implicaría reconocer que existen medios menos intrusivos para conseguir el mismo fin, lo cual daría lugar a que el uso de biometría ya no sea válido, por no ser estrictamente necesario. Por tanto, nos quedamos sin opciones.
- Fuera del ámbito laboral. Si el registro y control se llevan a cabo fuera del ámbito laboral, tampoco será válido el consentimiento, por lo anteriormente explicado, ni la ejecución de un contrato, pues el RGPD no lo contempla.
¿Entonces, qué opciones nos quedan? Podríamos recurrir a basar el tratamiento en la existencia de una autorización legal que lo posibilite, pero la AEPD ya ha aclarado que no existe en nuestro ordenamiento jurídico, a día de hoy, ninguna norma que lo contemple. Y también añade que el mero hecho de que el tratamiento biométrico suponga un ahorro no significativo para la empresa tampoco se considera suficiente justificación.
Medidas que recomienda la AEPD cuando se tratan datos biométricos para el registro de presencia
En su guía, la AEPD recoge una serie de medidas ejemplificativas que es indispensable tener en cuenta para estos casos, entre las cuales se encuentran:
- Que los dispositivos empleados estén bajo el exclusivo control de los usuarios
- De ser posible, no haya almacenamiento centralizado de plantillas biométricas
- Que se habiliten mecanismos automatizados de supresión de datos
- De haber convenios colectivos, se recojan en ellos las garantías adoptadas
- Que el individuo sea consciente y reciba información sobre la toma de sus datos
Estas medidas se complementan con otras que pueden ser aplicadas, según la AEPD, a cualquier control de presencia:
- Informar sobre el tratamiento de datos biométricos
- Que sea posible revocar el vínculo plantilla-persona física
- No sea posible usar la plantilla para otros fines
- Si se empleen tecnologías de cifrado
- No pueda haber interconexión entre distintas bases de datos
- Que se supriman los datos cuando pierdan su vínculo con el fin perseguido
- Que se aplique la protección de datos desde el diseño
- Y, por último y de nuevo… la realización de una Evaluación de Impacto.
Sobre la EIPD, es importante saber que no basta con realizarla, sino que has de ser capaz de aportar toda la documentación justificativa de la misma y de las medidas técnicas, organizativas y jurídicas adoptadas.
¿Qué conclusiones sobre todo esto nos aporta la AEPD?
La Agencia Española de Protección de Datos cierra su guía ofreciendo una serie de conclusiones que aplican al uso de datos biométricos con fines de control de presencia. Aquí, te dejamos la lista de los puntos clave al respecto:
- Este tipo de tratamientos deben ser considerados, en todo caso, de alto riesgo
- Es fundamental que concurra alguna circunstancia que levante la prohibición del art. 9 RGPD para tratar este tipo de datos
- Cualquier uso adicional que se le quiera dar a estos datos debe estar justificado
- Si se usa inteligencia artificial, hay que recurrir a la normativa reguladora de ésta
- Siempre tiene que haber una EIPD favorable, previa al tratamiento
- No deben tomarse decisiones automatizadas -sin intervención humana- que tengan efectos jurídicos o desfavorables sobre el interesado
- Han de cumplirse las medidas anteriormente listadas
- Y esas medidas deben revisarse periódicamente y actualizarse cuando sea necesario
Si algo sacamos en claro de todo esto es que, si bien la Agencia es muy rotunda y clara en la mayoría de aspectos, sigue habiendo dilemas y, definitivamente, no existe un único camino a seguir en lo que a tratamientos de esta categoría se refiere.
En cada caso, será indispensable analizar y justificar las circunstancias para ver qué posibilidades nos ofrece la normativa. Y, como siempre recordamos desde Dataseg, procurando que la máxima sea siempre el respeto hacia los derechos y libertades de los implicados.