Carlos B Fernández. La Agencia Española de Protección de Datos (AEPD) ha publicado una Guía Tratamientos de control de presencia mediante sistemas biométricos, un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) entre otras normativas.
La Agencia ha elaborado este guía ante la evidencia de que los sistemas biométricos y el tratamiento de los datos que se pueden obtener a partir de ellos están evolucionando muy rápidamente. Los nuevos sistemas aumentan el detalle de la información recogida e incluso permiten la posibilidad de recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello. A ello se suma el desarrollo de la inteligencia artificial, que puede utilizarse para inferir información adicional sobre las personas.
La Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos.
Por tanto, tal y como establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
En este sentido, la Guía establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.
En todo caso, la Guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Por último, la Agencia también añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:
Sistemas y datos biométricos
Los sistemas de procesamiento de datos biométricos se basan en recoger y procesar datos personales relativos a las características físicas, fisiológicas o conductuales de las personas físicas, entre las que cabe incluir las características neuronales de estas, mediante dispositivos o sensores, creando plantillas biométricas (también denominadas firmas o patrones) que posibilitan la identificación, seguimiento o perfilado de dichas personas (esto es, “tratar”, art. 4.2 del RGPD (LA LEY 6637/2016)).
En este sentido, el art. 4.14 del RGPD (LA LEY 6637/2016) define a los datos biométricos como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Según esta definición, son datos biométricos todos aquellos que permitan la identificación o autenticación de una persona.
Control de presencia, control de acceso y registro de jornada
Según la Guía, el control de presencia es un tratamiento de datos que puede servir para la consecución de distintas finalidades. Por ello está sometido al efectivo cumplimiento de la normativa de protección de datos, sin perjuicio de las especificidades previstas en la norma para cada uno de los supuestos, en atención a la normativa a aplicar en cada caso.
Tanto el control de acceso como el registro de jornada, en cuanto tratamiento de datos personales, tiene que cumplir en todo caso con los principios, derechos y obligaciones establecidos en el RGPD. El hecho de implementarlos mediante un sistema biométrico implica, además, consideraciones adicionales para el cumplimiento del RGPD.
- El control de acceso
Es un tratamiento de control de presencia vinculado a la finalidad de supervisar la entrada y/o salida a determinados recintos, dentro o fuera del ámbito laboral y sus finalidades.
- Control de acceso con fines laborales
Este control se suele fundamentar en la previsión contenida en el art. 20.3 del texto refundido de la Ley del Estatuto de los Trabajadores (LA LEY 16117/2015) (“3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad”).
- Control de acceso con otras finalidades
Existen casos en los que resulta preciso realizar un control de presencia, con la finalidad de supervisar ek acceso de usuarios o clientes a determinados recintos o espacios, o bien que sea necesario para la ejecución de un contrato de, por ejemplo, disfrute de determinados servicios.
- El registro de jornada
Se trata de un tratamiento de control de presencia enmarcado dentro de una relación laboral, con la finalidad de controlar el desenvolvimiento de la misma.
El Real Decreto-Ley 8/2019, de 8 de marzo (LA LEY 3310/2019), de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, regula en su art. 10 el registro de jornada como forma de combatir la precariedad laboral.
Así, mediante la introducción del nuevo número 9 al 34 del TR del ET establece que: «La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora … La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.»
En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD (LA LEY 6637/2016), el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
Principios a tener en cuenta para el tratamiento de control de presencia mediante técnicas biométricas de identificación o autenticación
Los responsables del tratamiento han de tener en cuenta que:
1. La utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo que incluye categorías especiales de datos.
2. En la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales.
3. Es necesario que exista una circunstancia para levantar la prohibición de tratar las categorías especiales de datos y, además, una condición que legitime el tratamiento.
- En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española.
- En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento.
- Para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición según el art.9.2 del RGPD (LA LEY 6637/2016). El consentimiento tampoco lo podrá ser, al resultar un tratamiento de alto riesgo, y que tendría que superar el requisito de necesidad establecido para dichos tratamientos.
4. Cualquier utilización de los datos biométricos con finalidades adicionales a la de control de presencia deberá tener sus propias circunstancias de levantamiento de la prohibición y de condiciones que lo legitimen.
5. En el tratamiento de control de presencia, no se pueden tomar decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar basadas en el proceso biométrico, si no se cumple la circunstancia de un interés público esencial basado en una norma con rango de ley, proporcional al objetivo perseguido, que respete en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
6. En el caso de que el sistema biométrico se implemente con técnicas de inteligencia artificial, para poder incluirlos en un tratamiento se deberán tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial.
7. En cualquier caso, será obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.
8. Superados todos los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas de identificación o autenticación, deben implementarse garantías organizativas, técnicas y jurídicas. En particular, al menos han de estar presentes las siguientes medidas por defecto:
- Informar a los trabajadores, o personas si no se está en un entorno laboral, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no ha posibilidad de revelar categorías especiales de datos adicionales.
- En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el art. 91 de la LOPDGDD (LA LEY 19303/2018).
9. Entre las medidas recomendables para minimizar el riesgo se encuentran:
- La utilización de tecnologías biométricas debería basarse en utilizar dispositivos bajo el control exclusivo de los usuarios.
- Es recomendable que la toma de los datos se realice de forma consciente por el individuo, e incluso con la exigencia de una acción positiva para iniciar el procesamiento de datos biométricos
- Preferentemente no debería emplearse un almacenamiento centralizado de las plantillas biométricas.
- Deberían implementarse mecanismos automatizados de supresión de datos.
10. Finalmente, todas las acciones y las medidas implementadas se revisarán y actualizarán cuando sea necesario.