Datos biométricos para el control de presencia y acceso
A finales del mes pasado, la AEPD ha publicado la Guía de Tratamientos de control de presencia mediante sistemas biométricos. Debido a la velocidad en la que están evolucionando los nuevos sistemas biométricos, la AEPD ha querido establecer las normas que deben regir el tratamiento de estos datos, categorizados como “datos de categorías especiales” categorizado como un tratamiento de alto riesgo.
En Cuevas Y Martinez Asesores, como asesoría en protección de datos, queremos disipar las dudas que a los empresarios les pueden surgir a la hora de implantar la recogida de datos biométricos (huella, reconocimiento facial…) para el control laboral y de presencia en el registro de jornada de sus empleados.
A través de esta guía, la AEPD fija las pautas para el uso de datos biométricos en el control de acceso y registro de jornada dentro del ámbito laboral. Recordemos que, según la modificación del art. 34 del texto refundido de la Ley del Estatuto de los Trabajadores: “La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo. Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario, previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de presencia. La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social” y para controlar el cumplimiento, el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control.
Si el empresario se decide por la implantación de un control de presencia por medio de un sistema biométrico de identificación/autenticación del empleado, deberá realizar una evaluación objetiva, sobre dicho sistema: si, por ejemplo, se están recogiendo datos excesivos para la finalidad del tratamiento, ya que los datos obtenidos a través de los sistemas biométricos podrían usarse no solo para el control presencia. Habrá que establecer también una evaluación sobre la medida a aplicar, para comprobar si realmente es posible “levantar” la prohibición del tratamiento de datos de “categorías especiales”. La superación positiva de una Evaluación de Impacto para la Protección de Datos (EIPD) sobre la idoneidad, necesidad y proporcionalidad del tratamiento, es totalmente necesaria para la implantación del sistema.
Según el Art. 4.14 del RGPD se tratan de “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Hay que tener en cuenta, además, que, tal como indica la AEPD en los sistemas biométricos, podrían existir diferentes alternativas de implementación:
- Basadas en dos operaciones de identificación.
- Basadas en una de autenticación y otra de identificación.
- Basadas en una única operación de autenticación.
El LEVANTAMIENTO DE LA PROHIBICIÓN DEL TRATAMIENTO DE DATOS BIOMÉTRICOS es totalmente necesario para el uso de estos sistemas biométricos, ya que si no existe una causa que valide ese tratamiento, aunque se tenga una base jurídica perfectamente válida para él, al no haberse levantado la prohibición se invalida el tratamiento.
En el art. 9 del RGPD, apartado 2, letra b), se levanta la prohibición del tratamiento de categorías especiales de datos cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”. Es decir, debe existir una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que, actualmente, no existe en la normativa legal española.
Muchos empresarios se plantean la siguiente duda llegados a este punto: Si mi empleado me da su consentimiento para el tratamiento, ¿su consentimiento explícito serviría para aplicar el levantamiento de la prohibición del tratamiento de datos biométricos? A esta cuestión tenemos dos respuestas, una rápida: NO, y otra más extendida: NO, DEBIDO AL DESEQUILIBRIO EXISTENTE ENTRE EL EMPRESARIO Y EL EMPLEADO. Es decir, se entiende que el consentimiento del empleado no se proporciona libremente y, por lo tanto, no puede tomarse como base jurídica. Aunque el empresario pueda justificar que no dar su consentimiento no le causará al empleado consecuencias negativas, esto tampoco serviría; ya que dicha justificación vendría derivada de la puesta a disposición del empleado de alternativas al uso del sistema biométrico, por lo que si existen esas alternativas ya no existe la necesidad inequívoca de la aplicación del sistema biométrico para el control de jornada.
Si llegados a este punto se tiene base jurídica para el tratamiento, se ha superado positivamente el levantamiento de la prohibición y se ha cumplido con la EIPD, solo queda fijarnos en que el sistema cumpla con la obligación de establecer las medidas de seguridad necesarias desde el diseño.
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
Habrá de aplicarse, por tanto, las medidas menos intrusivas, y que traten los menos datos adicionales posibles, la AEPD destaca las siguientes:
- La utilización de tecnologías biométricas debería basarse en utilizar dispositivos bajo el control exclusivo de los usuarios.
- Es recomendable que la toma de los datos se realice de forma consciente por el individuo, e incluso con la exigencia de una acción positiva para iniciar el procesamiento de datos biométricos
- Preferentemente, no debería emplearse un almacenamiento centralizado de las plantillas biométricas.
- Deberían implementarse mecanismos automatizados de supresión de datos.
Imagen de rawpixel.com en Freepik