La Agencia Española de Protección de Datos publicó el pasado 23 de noviembre una «Guía sobre la utilización de datos biométricos para el control de presencia y acceso» en la que lleva a cabo una reconsideración sobre criterios para el control de acceso mediante sistemas biométricos que aplicaba hasta la fecha.
Las principales cuestiones que deben tenerse en cuenta en relación a dicha guía son las siguientes:
En primer lugar, y como legalmente viene sucediendo hasta ahora, debe existir una circunstancia que permita levantar la prohibición de tratar los datos biométricos en tanto que son categorías especiales de datos. La novedad es que queda poco margen de maniobra para que exista alguna causa que permita levantar la prohibición, teniendo en cuenta el principio de necesidad y de proporcionalidad analizados por la AEPD en la guía.
En el caso del registro de jornada y control de acceso con fines laborales:
- Las conclusiones de la AEPD son que, actualmente, no existe en la normativa española una norma con rango de ley que permita levantar la prohibición. Por tanto, si tampoco existe regulación en convenio colectivo, el tratamiento no puede realizarse porque la AEPD considera ahora que el 20.3 del ET no lo habilita, y tampoco lo habilita el Real Decreto-ley 8/2019, la norma que obliga a llevar el registro de jornada, en tanto que en ninguna norma se habla de uso de biometría para cumplir las finalidades establecidas en las mismas. Una normativa legal podría ser su regulación en convenio colectivo si bien, obviamente, nunca debería negociarse dicho convenio mientras se está aplicando el registro de jornada mediante sistemas biométricos, pues ya se estaría incumpliendo la normativa de protección de datos en ese caso.
- Tampoco el consentimiento puede levantar la prohibición del tratamiento al existir, de manera general, un desequilibrio entre la persona trabajadora y la organización y, por tanto, el consentimiento no puede entenderse otorgado de manera libre. Además, para que el consentimiento sea libre tiene que haber una alternativa al control biométrico y, si existe esa alternativa, entonces, el principio de necesidad no se cumple.
En el caso del control de acceso fuera del ámbito laboral:
- La ejecución de un contrato no levanta la prohibición porque no está entre las causas previstas para ello en el artículo 9.2 del RGPD.
- El consentimiento tampoco levanta la prohibición al ser un tratamiento de alto riesgo, cuando existen alternativas de menor riesgo que tratar datos biométricos.
Además, cualquier utilización de los datos biométricos con finalidades adicionales a la de control de presencia, deberá tener sus propias circunstancias de levantamiento de la prohibición y de condiciones que lo legitimen.
Y, en cualquier caso, será obligatoria la superación favorable, con carácter previo al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otras cuestiones, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos indicados en este documento.
Por último, debe tenerse en cuenta que la AEPD no ha otorgado un plazo para adaptarse a esta nueva guía. Es decir, desde la fecha de publicación de la misma, el uso de sistemas biométricos para control de presencia con las finalidades comentadas, podría ser susceptible de ser sancionado ante la apertura de un procedimiento de inspección por parte de la AEPD.
Elena Pérez Gómez
Derecho Tecnológico y Seguridad de la Información
