La Agencia Española de Protección de Datos modifica sus criterios sobre el uso de la huella dactilar, el reconocimiento facial y otros sistemas biométricos
27/12/2023
En la Guía sobre tratamientos de control de presencia mediante sistemas biométricos publicada a finales de noviembre por la Agencia Española de protección de datos, se cambian siguiendo la línea marcada por las otras agencias europeas respecto al uso de sistemas de biometría para el control de acceso, tanto con fines laborales (en empresas para el registro de la jornada, el control de la productividad o el acceso al centro de trabajo o a determinados recintos), como con fines no laborales (en gimnasios, centros deportivos o clubes privados, por ejemplo).
La Guía recoge y acentúa, el carácter de “categoría especial” de datos biométricos y limita su uso de forma general, por el alto riesgo que supone su utilización y tratamiento, tanto para la identificación como para la autenticación. Tal y como establece el RGPD, para poder tratar esas categorías de datos es necesario que exista una circunstancia que levante la prohibición de su tratamiento, establecida por el articulo 9 y además una condición que lo legitime.
En el caso de registro de jornada y control de acceso con fines laborales se debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad, sin que en la actualidad exista tal norma. La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento (la empleada), y quien lo está llevando a cabo( su empresa)
A partir de esta nueva interpretación de la AEPD, las empresas deberían sustituir el sistema de registro de huella dactilar o reconocimiento facial por un método menos intrusivo, como el control de acceso mediante tarjeta, mediante código numérico o a través de una persona que chequee y verifique el acceso de los trabajadores/as.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
La Guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.
En todo caso, la Guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una evaluación de impacto sobre ese preciso tratamiento en la que , se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
La Guía también añade un listado de medidas que deben de llevarse a cabo si se superan todos los anteriores requisitos a fin de garantizar su seguridad.