Hace unos días, la Agencia Española de Protección de Datos (AEPD) lanzó la tan esperada Guía sobre tratamientos de control de presencia mediante sistemas biométricos, estableciendo criterios para el manejo de datos biométricos, como reconocimiento facial o huella dactilar, en conformidad con el Reglamento General de Protección de Datos (RGPD).
A continuación, examinamos los aspectos más destacados de esta nueva Guía de la AEPD.
Cambio de criterio: autenticación vs identificación
En primer lugar, es importante señalar que la AEPD ha cambiado su criterio con respecto a la identificación y autenticación en esta Guía, en comparación con su Guía anterior sobre relaciones laborales y protección de datos. Anteriormente, se afirmaba que la autenticación no implicaba el tratamiento de datos biométricos especialmente protegidos. Sin embargo, ahora, siguiendo las Directrices 05/2022 del Comité Europeo de Protección de Datos, la AEPD considera que tanto la identificación como la autenticación conllevan el tratamiento de datos especialmente protegidos, lo cual es crucial debido a la prohibición general establecida por el RGPD.
Con este nuevo criterio, las empresas que utilicen sistemas basados en autenticación deberán buscar una base de legitimación del artículo 9.2 del RGPD para superar la prohibición general.
Bases de legitimación aplicables
Si consideramos que tanto los sistemas de identificación como los de autenticación se basan en el tratamiento de datos biométricos, las empresas deben contar con una base de legitimación del artículo 9.2 del RGPD para evitar la prohibición de tratar estos datos. La AEPD identifica dos bases legales posibles: una norma de rango legal que obligue a la empresa al tratamiento de esos datos o el consentimiento explícito del interesado.
Hasta ahora, se recomendaba que las empresas obtuvieran el consentimiento explícito de los empleados para tratar datos biométricos, ofreciendo al mismo tiempo alternativas como el acceso mediante tarjetas. La AEPD respalda esta recomendación, aunque con ciertas salvedades, especialmente en el caso del registro de jornada.
La AEPD considera adecuado el tratamiento de datos biométricos para el control de acceso basado en el consentimiento, siempre y cuando el medio alternativo ofrecido no sea equivalente al control biométrico. Sin embargo, se destaca la importancia de realizar un análisis objetivo de la medida.
Control objetivo del sistema y alternativas
La AEPD sostiene que, para basar el tratamiento de datos biométricos en bases de legitimación especiales, la empresa debe poder demostrar objetivamente la necesidad e idoneidad de dichos sistemas mediante análisis de riesgos, evaluación de impacto y test de idoneidad, necesidad y proporcionalidad.
Aunque la AEPD permite la posibilidad de establecer el control de acceso mediante biometría a través de convenios colectivos o, en su defecto, justificar su uso en interés público esencial en condiciones específicas de seguridad, se subraya la importancia de realizar estos exámenes antes de implementar dichos sistemas.
Conclusiones
En resumen, aunque la AEPD no prohíbe explícitamente el uso de controles biométricos para el control de acceso, establece requisitos rigurosos que dificultan su implementación. Por lo tanto, se recomienda que, en vista de este nuevo criterio, se suspenda temporalmente el uso de controles de acceso biométricos y se realice un nuevo análisis técnico y legal objetivo, incluyendo análisis de riesgos, evaluación de impacto y test de idoneidad, necesidad y proporcionalidad, para abordar estos nuevos aspectos.
