Situación actual sobre el uso de datos biométricos
Parece evidente que la tecnología avanza a un ritmo mucho más rápido que la normativa legal, especialmente en ámbitos tan sensibles como el tratamiento de datos biométricos, la inteligencia artificial o la vigilancia automatizada. Este desfase normativo genera importantes incertidumbres jurídicas y desafíos en materia de protección de derechos fundamentales, ya que las soluciones tecnológicas se implementan sin un marco regulador claro que garantice su uso ético, proporcional y conforme a los principios de legalidad y transparencia.
Desfase entre el avance tecnológico y la normativa vigente
La situación actual del uso de datos biométricos en España se encuentra en un punto de alta tensión jurídica y tecnológica. Aunque el Reglamento General de Protección de Datos (RGPD) permite su tratamiento bajo condiciones estrictas, la realidad es que muchas empresas han adoptado sistemas de reconocimiento facial, huella dactilar o escaneo de iris para el control de acceso y el registro de jornada, sin cumplir siempre con los requisitos de proporcionalidad, necesidad o base jurídica adecuada.
Este escenario se complica con el auge de la inteligencia artificial, que potencia el alcance y la sensibilidad del tratamiento biométrico, aumentando los riesgos para los derechos fundamentales, especialmente la privacidad. Al mismo tiempo, la reciente reforma del Ministerio de Trabajo —que refuerza el deber empresarial de garantizar un registro de jornada fiable, objetivo y accesible mediante medios digitales— puede incentivar el uso de tecnologías invasivas sin que exista una guía normativa clara sobre qué herramientas cumplen con la legalidad.
En este contexto, se evidencia un desfase entre el avance tecnológico y la normativa vigente, generando inseguridad jurídica tanto para empresas como para trabajadores, y planteando un reto urgente para el legislador y las autoridades de control. La clave estará en establecer límites precisos y mecanismos de supervisión eficaces que permitan compatibilizar innovación, cumplimiento laboral y protección de datos.
Recomendaciones para el uso de datos biométricos en empresas
El uso de datos biométricos en empresas, como la huella dactilar o el reconocimiento facial para el control de acceso o la gestión del tiempo, implica el tratamiento de una categoría especial de datos personales según el Reglamento General de Protección de Datos (RGPD). Por ello, antes de implementar estos sistemas, es fundamental realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD). Esta evaluación no solo es una exigencia legal cuando el tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas, sino también una herramienta preventiva clave para asegurar que la tecnología utilizada es proporcional, necesaria y respetuosa con la normativa vigente.
La Evaluación de Impacto es un proceso estructurado que permite identificar y analizar los riesgos asociados al tratamiento de datos personales, especialmente cuando se manejan datos sensibles como los biométricos. Su finalidad es anticipar posibles efectos negativos para la privacidad de los interesados y establecer medidas para mitigarlos.
La EIPD debe contener, entre otros elementos, una descripción detallada del tratamiento previsto, su finalidad, la base jurídica utilizada, una evaluación de la necesidad y proporcionalidad del tratamiento y un análisis de los riesgos, junto con las medidas de seguridad aplicadas para reducirlos. En algunos casos, si persisten riesgos elevados, será necesario consultar previamente a la Agencia Española de Protección de Datos (AEPD). En resumen, la evaluación de impacto no solo protege a los trabajadores, sino que también proporciona a las empresas una guía sólida para un cumplimiento normativo responsable y transparente.
En conclusión, aunque el uso de datos biométricos en el ámbito empresarial se ha visto claramente limitado tras la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos de la AEPD en 2023 —la cual establece criterios muy restrictivos sobre su legalidad y proporcionalidad—, es evidente que el panorama tecnológico está evolucionando rápidamente. Las nuevas soluciones permiten tratamientos más seguros, menos intrusivos y técnicamente optimizados, lo que plantea la necesidad de revisar ese enfoque restrictivo. En este contexto, resulta fundamental que la AEPD actualice su criterio y emita un nuevo pronunciamiento que tenga en cuenta los avances tecnológicos y las demandas reales de las empresas, permitiendo un uso proporcionado y garantista de los sistemas biométricos dentro del marco del RGPD. Una revisión normativa coherente y flexible no solo proporcionaría seguridad jurídica, sino que también permitiría compatibilizar la innovación con la protección de los derechos fundamentales.
Paula Ferrándiz es abogada especialista en Propiedad Intelectual e Industrial, Nuevas Tecnologías y Derecho de la Competencia.
Apasionada del sector digital y las redes sociales presta asesoramiento legal a todo tipo de clientes tanto nacionales como internacionales en materia de protección de datos, comercio electrónico, publicidad y marketing digital entre otras.
Artículos Relacionados
¿Es tratamiento de datos biométricos si no se almacena? Respuesta de la APDCAT
Reconocimiento facial en aeropuertos: máximo control sobre los datos biométricos
Datos biométricos y criptomonedas gratis. Medidas cautelares impuestas por la AEPD
X cambia su política de privacidad: ahora podrá recopilar tus datos biométricos
Datos biométricos en el ámbito laboral: Cómo captarlos de manera lícita
Los bancos no podrán exigir a los clientes sus datos biométricos