Con el objetivo de adaptarse a la Directriz 05/2022 del CEPD (Comité Europeo de Protección de Datos) de abril de 2023, el pasado 23 de noviembre de 2023 se publicó en la página web de la AEPD (Agencia Española de Protección de Datos) la nueva Guía sobre Tratamientos de Control de Presencia Mediante Sistemas Biométricos.
En ella, se establecen una serie de restricciones en los casos en los que el tratamiento de datos personales biométricos de los interesados esté destinado al registro de la jornada laboral, al control de acceso para finalidades laborales o al control de acceso para finalidades no laborales.
Las prescripciones de esta guía entraron en vigor el mismo día de su publicación.
- CONCEPTO DE DATO BIOMÉTRICO Y CONTROL DE PRESENCIA
La AEPD ha elaborado su nueva guía sobre los siguientes conceptos:
- Control de presencia: conjunto de tratamientos utilizados para controlar el registro de la jornada laboral, el control de acceso para fines laborales y el control de acceso para finalidades no laborales. Los tratamientos de los datos recabados para esta finalidad deben ser adecuados, pertinentes y limitados al mínimo necesario.
- Datos biométricos: se definen los datos biométricos como datos personales de categoría especial, cuyo tratamiento supone un alto riesgo para los derechos y libertades de las personas físicas. Tanto en su definición de identificación como autentificación. Un criterio que la AEPD ya anunciaba en informes y resoluciones anteriores a esta Guía.
- Prohibición general de tratar datos de categoría especial: conforme al artículo 9 del RGPD (Reglamento General de Protección de Datos), existe una prohibición general en el uso de datos biométricos, salvo casos específicos tasados por el propio RGPD.
Para poder tratar datos biométricos, se tendrá que levantar esta prohibición y, además, contar con una condición que legitime el tratamiento, de las previstas en el artículo 6 del RGPD.
2. REGISTRO DE JORNADA Y CONTROL DE ACCESO LABORAL
A raíz de la publicación de esta nueva guía, el consentimiento de los empleados no es excepción suficiente para levantar la prohibición de uso de los datos biométricos. Además, la AEPD considera que, actualmente, en la legislación española no existe amparo suficiente para permitir el uso de los datos biométricos que pueda justificarse en el cumplimiento de una Ley, ni para el personal laboral ni para el personal sometido a relación administrativa.
3. CONTROL DE ACCESO CON FINALIDADES NO LABORALES
En este supuesto, la Agencia llega a la conclusión que el tratamiento de datos biométricos para el control de acceso no laboral no puede ampararse en el consentimiento de los usuarios, ni tampoco en la ejecución de un contrato o un interés legítimo.
4. DECISIONES AUTOMATIZADAS, MEDIDAS DE SEGURIDAD Y GARANTÍAS ADICIONALES
En caso de poder captar y utilizar datos biométricos, se deberá realizar de forma obligatoria una Evaluación de Impacto para la Protección de Datos, de forma previa a la implantación de cualquier técnica o medida, que en todo caso deberá ser: idónea, necesaria y proporcional.
Las decisiones automatizadas sin intervención humana no podrán recabar ni tratar datos biométricos. También se deberán aplicar una serie de medidas para garantizar la seguridad y confidencialidad de la información biométrica. Todo ello con el objetivo de minimizar el tratamiento y el riesgo.
CONCLUSIONES
Siguiendo el criterio de la AEPD, a partir de ahora, las empresas no podrán utilizar sistemas de control biométrico (huella dactilar o reconocimiento facial) en el control de acceso o registro de la jornada laboral. Cualquier empresa que los utilice puede ser sancionada por la AEPD. Esta prohibición también afecta a las entidades que supervisen el acceso de usuarios o clientes a determinados espacios para fines no laborales, como por ejemplo, gimnasios o comunidades de propietarios, entre otras, que no podrán eludir la prohibición de tratar datos biométricos, ni siquiera en base al consentimiento de los interesados o en la ejecución de un contrato.