La AEPD cambia el criterio sobre la utilización de sistemas biométricos
Hace ya algunas semanas que la Agencia Española de Protección de Datos publicó una Guía (no exenta de polémica) sobre la utilización de sistemas biométricos para el control de presencia y acceso a través de un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, donde se establecen las medidas a tener en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) entre otras normativas.
Criterio nuevo sobre el uso de sistemas biométricos
En esta nueva interpretación, la Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. De hecho, la protección de datos en la identificación biométrica requiere de un análisis exahustivo sobre aquellos sistemas en los que se utiliza este tipo de identificación.
Tal y como establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
Por lo tanto, es necesario justificar la necesidad de un tratamiento adicional de datos cuando las mismas finalidades se han estado alcanzando y se pueden alcanzar con otro tipo de implementación del tratamiento de registro de jornada equivalente y menos intrusivo.
No es obligatorio, ni recomendable, que la implementación de un tratamiento, se limite exclusivamente a la selección de recursos tecnológicos. En las opciones de implementar un tratamiento hay que considerar, entre otros, la utilización de recursos humanos, las garantías jurídicas y los procedimientos organizativos.
Por lo tanto, en la evaluación de alternativas equivalentes y menos intrusivas se han de explorar opciones que no sean solo tecnológicas. En este sentido, en sistemas biométricos para el control de presencia hay que realizar una evaluación objetiva de si se están recogiendo datos excesivos para la finalidad del tratamiento.
Anteriormente, la AEPD interpretaba la autenticación biométrica fuera de las categorías especiales de datos, otra prueba más de los retos de la identificación biométrica en protección de datos. Sin embargo, esta interpretación ha sido superada por las Directrices antes citadas, por lo que la interpretación de la AEPD ha de adaptarse a las Directrices del CEPD mencionadas de 26 de abril de 2023.
Del mismo modo, la interpretación que de estos tipos de tratamientos hacía la AEPD en su Informe Jurídico 036/2020, basándose, entre otros documentos, en el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29 (GT29), sobre la evolución de las tecnologías biométricas, – publicado en un momento, 2012, en que ni unos ni otros datos biométricos tenían la consideración de categoría especial (sólo a partir de la entrada en vigor del GDPR en 2016)-, ha de considerarse igualmente superada por la nueva posición del CEPD, expuesta en dichas Directrices 05/2022.
En definitiva, se ha de considerar que, al igual que en el caso de identificación, la autenticación biométrica es un proceso que implica el tratamiento de categorías especiales de datos personales.
Únicamente cabe excepcionar la prohibición de tratamiento de los datos de categoría especial cuando concurra alguna de las circunstancias que se especifican en el apartado 2 del art. 9 del RGPD. El responsable tiene la obligación de valorar muy seriamente y con diligencia si tiene una razón sólida para tratar categorías especiales que aparezca enumerada en dicho art. 9.2 del RGPD. Entre las circunstancias enumeradas ya no se encuentra (a priori) el interés legítimo, la ejecución de un contrato o medidas precontractuales.
Base de legitimación y excepciones al uso de datos biométricos
Parecería que, con este nuevo criterio, respecto a los datos biométricos en el ámbito laboral, las empresas lo van a tener complicado si quieren continuar utilizando estas herramientas a la hora de registrar la jornada laboral de sus trabajadores.
Pero, ¿qué sucede con aquellos trabajos donde la suplantación de identidad es un asunto problemático y recurrente?
La AEPD propone otros sistemas como tarjetas, certificados, claves, sistemas contact-less, etc. que evitan el tratamiento de categorías especiales de datos. No obstante, cuando de suplantación de identidad se trata, como ocurriría en sectores agrarios, por ejemplo, donde la rotación es el día a día, este tipo de sistemas serían inservibles ya que no estarían exentos de problemas como la suplantación de identidad.
Para estos supuestos, la AEPD entendemos que reconoce la idoneidad de emplear datos biométricos para el control de acceso siempre y cuando se demuestre que la alternativa ofrecida a empleados o terceros no es igual de eficaz para lograr el objetivo deseado (control de acceso).
En este sentido, el tratamiento de datos biométricos sería aceptable si se justifica que la finalidad no se cumple de manera equivalente o con la misma seguridad mediante el medio alternativo proporcionado.
En virtud de lo anterior cabe concluir que, a priori, parece que el tratamiento de datos biométricos necesario para proporcionar los servicios de control horario y de fichaje puede ser legitimado por el consentimiento explícito del interesado, de conformidad con lo dispuesto en el artículo 9.1.a) siempre y cuando se cumplan los siguientes requisitos:
- Se ofrezca al trabajador un método alternativo para registrar la jornada laboral o fichar en el campo a los efectos de demostrar que el consentimiento ha sido otorgado de forma libre y sin miedo a consecuencias adversas por parte del trabajador.
- El método alternativo ofrecido no sea igual que el implementado a través de la recogida de datos biométricos en términos de eficacia o seguridad, pues en este caso no estaremos ante supuestos equivalentes.
Aunque los supuestos de usos se han limitado, entendemos que la AEPD se pronunciará en próximas resoluciones moldeando su criterio y evitando así, que una tecnología tan extendida y utilizada por muchos sectores se vea abocada al fracaso.
En Letslaw, como abogados especialistas en protección de datos, ofrecemos asesoramiento en todo lo que a ello compete, así que no dudes en contactar con nuestro equipo de profesionales para poder ayudarte en lo que precises.