Interpretación restrictiva de la AEPD en cuanto al uso de sistemas biométricos para el control de presencia

CrisNoticias

En el marco de la protección de datos en la Unión Europea, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una guía que aborda el tratamiento de datos biométricos en el contexto del control de presencia. Esta guía busca proporcionar directrices claras en consonancia con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, específicamente el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, que rige el tratamiento de datos personales.

Los datos biométricos, obtenidos a través de sistemas como huellas dactilares o reconocimiento facial, son considerados de «categoría especial» según el artículo 9 del RGPD, y la AEPD identifica el tratamiento de estos datos en el control de presencia como de alto riesgo para los derechos fundamentales y las libertades individuales.

La guía establece requisitos esenciales que deben cumplirse para el tratamiento legal de datos biométricos, incluyendo la necesidad de levantar la prohibición de tratamiento de datos especiales según el RGPD (artículo 9.2) y la obtención de una legitimación adecuada según el RGPD (artículo 6). Además, se enfatiza la importancia de los principios de minimización y necesidad, asegurando que la finalidad del tratamiento no pueda lograrse de manera razonable por otros medios.

Respecto al consentimiento, la guía destaca que, en general, este no se considera libre debido a las posibles desigualdades en las relaciones laborales. Se subraya que solo en situaciones específicas, como el registro de jornada, se podría considerar que el consentimiento es libre si existen alternativas sin riesgos para los derechos de los trabajadores. No obstante, si se dan esas alternativas, el principio de necesidad de los sistemas biométricos no se cumpliría.

Este documento marca un cambio respecto a una guía anterior publicada en mayo de 2021, al resaltar la importancia del consentimiento explícito del empleado y la necesidad del tratamiento, incluso en el contexto de las obligaciones laborales. Además, aborda la identificación y autenticación biométrica como procesos que también implican el tratamiento de categorías especiales de datos personales.

La guía establece que no se aplicará la excepción a la prohibición de tratamiento de datos especiales según el artículo 9 RGPD en el ámbito laboral, y destaca la necesidad de realizar un análisis previo que demuestre que no existen medios igualmente eficaces y menos intrusivos para el registro de presencia, el principio de necesidad y minimización en el tratamiento de los datos personales.

Dado el riesgo asociado al tratamiento de datos biométricos, la AEPD establece la obligatoriedad de llevar a cabo una Evaluación de Impacto para la Protección de Datos (EIPD), considerando los criterios de idoneidad, necesidad y proporcionalidad. La responsabilidad proactiva, conforme al RGPD, exige no solo superar la EIPD, sino también documentar y poder probar las medidas organizativas, jurídicas y técnicas adoptadas.

Adicionalmente, la guía prohíbe el uso de sistemas biométricos de control de presencia basados en procesos automatizados sin intervención humana, a menos que el tratamiento esté fundamentado en el interés público esencial o el cumplimiento de una obligación legal. En el caso del registro de jornada mediante sistemas biométricos, se sugiere la inclusión de garantías en convenios colectivos, aunque esto no exime del cumplimiento de otras medidas y de realizar el triple test junto con la EIPD.

La AEPD también propone un conjunto de medidas adicionales a implementar si se cumplen todos los requisitos necesarios para garantizar el cumplimiento de los principios del RGPD. Estas medidas incluyen informar a los interesados sobre el tratamiento biométrico y los riesgos asociados, permitir la revocación del vínculo de identidad entre la plantilla biométrica y la persona, limitar el uso de las plantillas a los propósitos informados, cifrar las plantillas y utilizar tecnologías específicas que eviten la interconexión no autorizada de bases de datos biométricos.

En caso de incumplimiento de estas directrices, la AEPD advierte sobre posibles sanciones que pueden variar desde apercibimientos hasta prohibiciones temporales o definitivas del tratamiento, así como multas de diversa cuantía, dependiendo de la gravedad de la infracción. Dichas multas, categorizadas como infracciones graves o muy graves, podrían alcanzar hasta los 20 millones de euros o el 4% de la facturación anual, según las circunstancias específicas de cada caso.

Cabe destacar que la guía también establece una conexión entre el riesgo asociado al tratamiento de datos biométricos y el desarrollo de estos sistemas mediante Inteligencia Artificial. Esto anticipa la posible regulación de los sistemas biométricos en el futuro Reglamento de Inteligencia Artificial, proyectado para ser aprobado en los próximos años, y destaca la importancia de alinear el tratamiento de datos biométricos con la protección de datos personales.

En resumen, aunque el RGPD no prohíbe de manera taxativa el uso de sistemas biométricos para el registro de la jornada, la nueva guía de la AEPD introduce restricciones más detalladas en su interpretación y en las excepciones que podrían permitir dicho uso, resaltando la importancia del consentimiento y la necesidad del tratamiento en estos casos.