CONTROL DE PRESENCIA SISTEMAS BIOMÉTRICOS (CRITERIO DE LA AEPD)
Durante estos últimos años el uso de la huella dactilar se ha hecho cada vez más extensivo en el mundo empresarial y, como bien sabemos, los sistemas de control biométrico han estado en el foco de la polémica para los profesionales de la privacidad, desde que las empresas están obligadas a registrar la jornada laboral de los empleados.
La normativa, y los pronunciamientos de las distintas autoridades en materia de protección de datos, ha estado sujeta a continuos cambios que han generado una inseguridad jurídica que puede desembocar en cuantiosas multas.
En este sentido, ¿cuál ha sido el último pronunciamiento respecto al uso de datos biométricos en el entorno empresarial?
La Agencia Española de Protección de Datos (en adelante, AEPD), ha publicado la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, la cual ha supuesto un cambio de criterio en cuanto a la regulación de los tratamientos de control de acceso y registro horario mediante datos biométricos (huella dactilar, reconocimiento facial, etc.). Al ser de gran envergadura el impacto que este nuevo criterio de la AEPD puede generar en las organizaciones que realizan estos tratamientos, es de interés resaltar los puntos clave de esta Guía.
En esta Guía la AEPD establece que tanto si el sistema se utiliza para la «identificación» como la «autenticación», el tratamiento de datos derivado del mismo tendrá la consideración de tratamiento de alto riesgo al tratar categorías especiales de datos.
Al tratarse de categorías especiales de datos, su tratamiento estará sujeto a la prohibición general que existe para tratar este tipo de datos, recogida en el artículo 9.1 del RGPD salvo que se cuente con una de las excepciones previstas en la norma para el tratamiento de este tipo de datos recogidas en el artículo 9.2 RGPD y siendo, en cualquier caso, necesario contar con una de las bases jurídicas previstas en el artículo 6 RGPD. De esta forma, se deja sin vigencia el criterio anterior de la AEPD a este respecto en virtud del cual consideraba que atendiendo a una finalidad u otra (autenticación u identificación), se estarían o no tratando datos de categorías especiales de datos.
¿Existe alguna excepción de las establecidas en el artículo 9.2. del RGPD que permita levantar la prohibición respecto al tratamiento de datos biométricos?
De todas las excepciones previstas, la AEPD centra su análisis en las únicas dos que podrían tener cabida en este tratamiento de datos: El consentimiento y la existencia de una norma con rango de Ley. En relación a ambas excepciones, la AEPD establece lo siguiente:
- Consentimiento explícito (excepción 9.2 a): La AEPD entiende que el consentimiento no sería una base jurídica válida, además de por el desequilibrio entre empleador y empleado, por la posible equivalencia de tratamientos y existir sistemas menos invasivos y, por tanto, no superar, el tratamiento, el juicio de necesidad. Es decir, si realmente existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo para los derechos y libertades de las personas, el tratamiento de datos biométricos deja de ser necesario.
- Existencia de una norma con rango legal (Excepción 9.2 b): No se permite amparar el tratamiento en el cumplimiento de obligaciones legales a tenor de la excepción 9.2 b) ya que no existe una autorización ni obligación especifica en ninguna ley que habilite o exija el tratamiento de este tipo de datos biométricos con las finalidades pretendidas (en concreto para el cumplimiento de la obligación del registro horario). En esta línea tal y como determina la AEPD: “en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. La autorización suficientemente específica no se encuentra para el personal laboral, puesto que los artículos 20.3 y 34.9 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, no contienen tal autorización. Tampoco para el personal sometido a una relación jurídica administrativa al no constituirse en necesaria habilitación la previsión relacionada con el cumplimento de jornada y horario a la que alude el art. 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP), aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre”. Es decir, si bien existe una normativa que obliga a las organizaciones a llevar un registro horario de sus empleados, no existe ninguna que obligue a las organizaciones a que dicho registro deba producirse a través de los datos biométricos de los interesados.
Con carácter adicional a lo anterior, para la AEPD, este tratamiento de datos lleva adherido, entre otros, los siguientes riesgos:
- Los datos biométricos recogidos en el marco del tratamiento de control de presencia son susceptibles de ser utilizados para finalidades diferentes de las iniciales, (seguridad física, control de acceso a ciertos espacios o recursos de la propia entidad, evaluación de rendimiento laboral, etc.).
- Por otro lado, en la implementación de este tipo de sistemas pueden surgir riesgos adicionales de protección de datos (como por ejemplo sesgos en los perfilados, identificaciones incorrectas, suplantación de identidad, o denegación de acceso a servicios por errores en la captación de los datos) y surgir potenciales incumplimientos. Esto podría ocurrir como consecuencia de una renovación o actualización de los componentes del propio sistema, una vez ya estuviera implantado.
Expuesto cuanto antecede, y como conclusión, parece claro que la AEPD dificulta la posibilidad de encontrar una base de legitimación que justifique el tratamiento de datos biométricos con la finalidad de registro horario y/o control de acceso. Asimismo, pone en duda la proporcionalidad de este tipo de tratamientos, ya que considera que pueden existir medios menos invasivos para la privacidad de los interesados para lograr el mismo fin.
Bajo el escenario actual, si en alguna organización que ya tuviera implantado este tipo de sistemas se quisiera mantener el mismo o se estuviese planteando implementarlo, se debería realizar una Evaluación de impacto con objeto de analizar en detalle dicho tratamiento y buscar una base jurídica que resultase conveniente y acorde a las disposiciones del RGPD.
No obstante, a día de hoy, lo anterior resulta algo complejo dado que la AEPD ha sido firme en sus conclusiones dejando claro que, aunque el responsable de tratamiento encontrase una base legal adecuada, la medida escogida tendría que superar el juicio de proporcionalidad (idoneidad, necesidad y proporcionalidad); lo cual se torna complicado si consideramos que para el cumplimiento de las finalidades de control horario y de accesos suelen existir medidas menos intrusivas que permiten a las organizaciones cumplir con los mencionados objetivos.
Os recordamos que en Áudea Seguridad de la Información disponemos de profesionales con la preparación y experiencia necesaria para apoyar a las organizaciones en todas aquellas cuestiones que puedan surgiros en materia de privacidad.
Departamento Legal