¿Hay cambios en la Agencia Española de Protección de Datos?

The news
19/04/2024 4 min lect.

La Agencia Española de Protección de Datos ha publicado una guía sobre la utilización de datos biométricos, ¿han cambiado los criterios? ¿Hay algo nuevo que saber? Tourism & Law nos cuenta los puntos más importantes.

A finales del pasado año, se conoció que la Agencia Española de Protección de Datos publicó una guía sobre la utilización de datos biométricos, fijando los criterios sobre dicha tecnología tanto con fines laborales como no laborales. Además, se vino a poner en cuestión su utilización para permitir el control de presencia y acceso a centros de trabajo.

Las primera multa que conocemos es de 27.000€ a un gimnasio por utilizar esta tecnología para el acceso a sus instalaciones.

Según la Agencia Española de Protección de Datos, ¿qué son los datos biométricos?

Los datos biométricos son datos personales relativos a las características únicas del ser humano, sean físicas, fisiológicas o asociadas al comportamiento, que faciliten y garanticen la identificación de un individuo mediante sistemas o procedimientos tecnológicos. Por ejemplo: reconocimiento facial, huella o voz.

Según el reglamento general de protección de datos, estos datos son categorías especiales de datos, y su tratamiento está prohibido de base, salvo excepciones recogidas en el art. 9.2 RGPD.

Entonces, ¿se han modificado los criterios de identificación y autenticación?

Las bases del cambio de criterio se centra en que la AEPD modifica en su “Guía de Tratamientos de control de presencia mediante sistemas biométricos” respecto a los conceptos de identificación y autenticación. En el anterior guía de relaciones laborales, se admitía que la autenticación no conllevaba un tratamiento de categorías especiales de datos.

Ahora, y con el objeto de tener unos planteamientos armonizados con los criterios del Comité Europeo de Protección de Datos en sus Directrices 05/2022, entiende que ambos tratamientos (identificación y autenticación) conllevan el tratamiento de datos especialmente protegidos, resultando tratamiento de alto riesgo para los derechos de los usuarios.

Consecuencias del cambio de escenario para las empresas

En este sentido, con el nuevo criterio adoptado, las empresas que tuviesen implementados sistemas de autenticación, para los que la base de legitimación válida en ese momento era cualquiera de las generales del art. 6 del Reglamento, ahora deben buscar una base de legitimación del artículo 9.2 del RGPD que levante la prohibición general, siendo mucho más restrictivas, cabiendo en estos supuestos como base legitimadora:

  • La existencia de una norma de rango legal que obligue a la empresa a tratar esos datos (9.2.b del RGPD).
  • El consentimiento explícito del interesado (empleado o tercero que acceda a las instalaciones), en virtud del artículo 9.2 del RGPD.

Actualmente no hay ley que obligue al tratamiento de datos biométricos, por tanto, se descartaría la primera opción solo quedando el consentimiento que pasa de ser expreso a explícito.

La AEPD adopta en su nueva guía que, para el supuesto de registro de jornada y que pueda darse un consentimiento libre a un tratamiento de datos biométricos, se debe poner a disposición del trabajador de una alternativa de libre elección para cumplir con dicha obligación (las tarjetas). Precisamente por eso, si hay alternativa no se justificaría la recogida por datos biométricos ni se estaría cumpliendo con el principio de minimización de datos recogido en el artículo 5.1.c del RGPD.

No obstante, la AEPD sí considera adecuado el tratamiento de los datos biométricos para el control de acceso basado en el consentimiento de los interesados siempre que se justificase que el medio alternativo ofrecido a los empleados o terceros no es equivalente al del control biométrico. Además de necesario, debe resultar idóneo para la finalidad prevista, así como proporcionado en sentido estricto (que el uso de datos biométricos no solo resulte beneficioso para el empresario sino que también ofrezca beneficios para el trabajador).

Conclusiones

Las conclusiones de la AEPD establecerían que:

  • Para poder legitimar el tratamiento de los datos biométricos, la empresa debe poder acreditar objetivamente que dichos sistemas de tratamiento son necesarios, idóneos, proporcionales y no hay alternativa menos lesiva (realizando análisis de riesgos, evaluación de impacto, idoneidad, necesidad y proporcionalidad).
  • Las acreditaciones factibles resultarían, o bien por su inclusión a través de Convenio colectivo, o por justificarse por condiciones de seguridad por motivos específicos (previa todas las evaluaciones como en el punto anterior).
  • No se prohíbe de facto el control biométrico, si bien impone requisitos que dificultan mucho su viabilidad.

De cualquier modo, habrá que estar pendiente de futuras aclaraciones y recomendaciones del mismo órgano (AEPD) a la vista del calado e implicaciones que, en ámbito empresarial, supone este cambio de criterio.


Nota informativa redactada por Tourism & Law.

Green & Human Building sustainable destinations.

La transformación hacia un turismo sostenible está en nuestras manos.

Numerosas empresas ya se han comprometido a impulsar el desarrollo sostenible del sector turístico en España.

Las cookies son importantes para usted, influyen en su experiencia de navegación, nos ayudan a proteger su privacidad y permiten realizar las peticiones que nos solicite a través de la web. Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado con sus hábitos de navegación (por ejemplo, páginas visitadas). Si consiente su instalación pulse "Aceptar cookies", o también puede configurar sus preferencias pulsando "Configurar cookies". Más información en nuestra " Política de cookies"
Configurar cookies Aceptar cookies
Panel de configuración de cookies

Este es el configurador avanzado de cookies propias y de terceros. Aquí puede modificar parámetros que afectarán directamente a su experiencia de navegación en esta web.

Cookies de Personalización

Estas cookies están relacionadas con características generales como, por ejemplo, el navegador que utiliza, y podrá disponer de una experiencia y contenidos personalizados.

No quiero cookies de Personalización (Con su selección no podemos ofrecerle una navegación y contenidos personalizados)
Cookies Analíticas

Permiten medir, de forma anónima, el número de visitas o la actividad. Gracias a ellas podemos mejorar constantemente su experiencia de navegación. Podrá disponer de una mejora continua en la experiencia de navegación.

No quiero cookies Analíticas (Con su selección no podemos ofrecerle una mejora continua en la experiencia de navegación)
Guardar configuracion
Popupcontent
Aceptar