La AEPD ha publicado una guía que va a dar quebraderos de cabeza a más de una empresa. En ella, analiza la legalidad de los sistemas de control horario y/o de acceso que utilizan datos biométricos (como la huella dactilar).
El pasado 23 de noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) publicó la «Guía tratamientos de control de presencia mediante sistemas biométricos». A más de un DPD se nos giró el estómago, por ser muchas las empresas que utilizan este tipo de sistemas (para fines laborales o no), basándose en el consentimiento de los afectados.
Es importante entender que se consideran datos biométricos los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (huella dactilar), según el art. 4.14 del RGPD.
La AEPD, en la guía que ha publicado, recalca que los datos biométricos, como son las huellas dactilares, requieren una ley específica para su uso en el trabajo, y no pueden ser legitimados solo con consentimiento debido a la naturaleza sensible y los riesgos asociados. Se enfatiza la necesidad de realizar una evaluación de impacto de forma previa al uso de tales sistemas para garantizar la seguridad y el cumplimiento con el RGPD.
Se aconseja, para la protección de datos biométricos, lo siguiente:
- Informar sobre los procesos biométricos y sus riesgos inherentes.
- Permitir la anulación del vínculo entre identidades biométricas y personas.
- Impedir el uso de datos biométricos fuera del propósito establecido.
- Cifrar los datos para salvaguardar su privacidad e integridad.
- Prevenir la interconexión y filtración de bases de datos con tecnologías específicas.
- Eliminar datos biométricos que ya no se necesiten para el propósito original.
- Integrar la privacidad en el diseño inicial de los sistemas.
- Minimizar los datos recolectados, evitando el procesamiento de datos sin base sólida.
Dicho lo anterior, ¿es posible utilizar sistemas de fichaje y/o control de acceso utilizando datos biométricos, como la huella dactilar o el reconocimiento facial?
Con esta interpretación de la máxima autoridad española en materia de protección de datos, el uso de sistemas biométricos para el fichaje laboral u otros fines como el control de acceso no está prohibido, pero es controvertido y arriesgado.
La AEPD advierte que las empresas podrían enfrentar sanciones si se utilizan tales sistemas sin cumplir con el RGPD. Aunque no se declara ilegal, se reconoce que el fichaje biométrico puede ser invasivo y se recomiendan métodos alternativos, todo ello en base al artículo 5.1c y el considerando 39 del RGPD, que establecen de forma clara que los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.
Las leyes vigentes y las directrices de la AEPD exigen que cualquier tratamiento biométrico sea necesario y proporcional, privilegiando la protección de datos y los derechos de los empleados y/o interesados sobre la comodidad operativa. Dejará de ser necesario y proporcional si existen otros medios igualmente efectivos y menos invasivos.
En conclusión, el consentimiento de los trabajadores por sí solo no cumple con el criterio de necesidad para el procesamiento de datos biométricos en el fichaje laboral, según el RGPD.
Por lo tanto, todas aquellas empresas que estén utilizando este tipo de métodos para el control horario y/o control de acceso, deberán realizar una Evaluación de Impacto de forma inmediata, analizar su situación particular desde la perspectiva de que la AEPD, de forma clara y precisa, está desaconsejando su uso y poniendo límites muy estrictos, aceptándose solamente en supuestos muy especiales.