El 23 de noviembre del 2023, la Agencia Española de Protección de Datos (AEPD) lanzó una Guía esencial que aborda el tratamiento de datos biométricos en los sistemas de control de presencia. Esta guía ofrece directrices clave sobre el uso de la biometría tanto en el ámbito laboral como no laboral, y su relación con el Reglamento General de Protección de Datos (RGPD) y otras normativas.
La AEPD ha subrayado que el tratamiento de datos biométricos se considera de alto riesgo y comprende categorías especiales de datos. Para llevar a cabo este tipo de tratamiento, se requiere una circunstancia que justifique su uso y una condición que lo respalde, en conformidad con el Artículo 9 del RGPD.
¿Qué dice la Guía de la Agencia Española de Protección de Datos?
Cuando se trata de registros de jornada y control de acceso con fines laborales, la guía establece que, si se basa en el artículo 9.2.b) del RGPD para justificar el tratamiento de datos biométricos, es necesario contar con una normativa legal específica que autorice su utilización para este propósito.
El simple cumplimiento de lo dispuesto en el Artículo 20 o el Artículo 34.9 del Estatuto de los Trabajadores no se considera suficiente.
Además, se destaca que el consentimiento (Artículo 9.2.a) no puede ser la base principal para legitimar este tratamiento debido al desequilibrio entre la persona sometida al tratamiento y quien lo realiza (empleado-empresario).
¿Qué requisitos hay que cumplir para el uso de Dispositivos Biométricos?
Antes de considerar la captación de datos biométricos, es fundamental llevar a cabo una Evaluación de Impacto para la Protección de Datos, que incluye la evaluación de la idoneidad, necesidad y proporcionalidad del tratamiento.
Esto implica la gestión del riesgo (Artículo 24.1 del RGPD) y la aplicación de medidas técnicas y organizativas adecuadas desde el diseño y por defecto (Artículo 25 del RGPD) para garantizar y demostrar que el tratamiento cumple con el RGPD.
Una vez que se cumplan los principios del RGPD, se deben considerar las siguientes medidas adicionales:
- Informar a las personas sobre el tratamiento biométrico y los riesgos asociados.
- Incorporar la opción de revocar la identificación biométrica.
- Implementar medidas técnicas para evitar un uso indebido de los datos biométricos.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de los datos biométricos.
- Emplear formatos de datos o tecnologías que impidan la interconexión de bases de datos biométricos y la divulgación de datos no confirmados.
- Eliminar los datos biométricos cuando ya no sean necesarios para su finalidad original.
- Integrar la protección de datos desde la fase de diseño.
- Minimizar la recopilación de datos, con una evaluación objetiva para evitar el tratamiento de categorías especiales de datos.
Para obtener más detalles sobre estas pautas, te recomendamos consultar la Guía de la AEPD y utilizar sus herramientas para la gestión de riesgos y la Evaluación de Impacto.
En Woffu, estamos aquí para brindarte apoyo en este proceso. Si tienes preguntas o necesitas asistencia adicional, no dudes en contactarnos.
