La Agencia Española de Protección de Datos ha publicado una guía sobre la utilización de datos biométricos, ¿han cambiado los criterios? ¿Hay algo nuevo que saber? Tourism & Law nos cuenta los puntos más importantes.
A finales del pasado año, se conoció que la Agencia Española de Protección de Datos publicó una guía sobre la utilización de datos biométricos, fijando los criterios sobre dicha tecnología tanto con fines laborales como no laborales. Además, se vino a poner en cuestión su utilización para permitir el control de presencia y acceso a centros de trabajo.
Las primera multa que conocemos es de 27.000€ a un gimnasio por utilizar esta tecnología para el acceso a sus instalaciones.
Los datos biométricos son datos personales relativos a las características únicas del ser humano, sean físicas, fisiológicas o asociadas al comportamiento, que faciliten y garanticen la identificación de un individuo mediante sistemas o procedimientos tecnológicos. Por ejemplo: reconocimiento facial, huella o voz.
Según el reglamento general de protección de datos, estos datos son categorías especiales de datos, y su tratamiento está prohibido de base, salvo excepciones recogidas en el art. 9.2 RGPD.
Las bases del cambio de criterio se centra en que la AEPD modifica en su “Guía de Tratamientos de control de presencia mediante sistemas biométricos” respecto a los conceptos de identificación y autenticación. En el anterior guía de relaciones laborales, se admitía que la autenticación no conllevaba un tratamiento de categorías especiales de datos.
Ahora, y con el objeto de tener unos planteamientos armonizados con los criterios del Comité Europeo de Protección de Datos en sus Directrices 05/2022, entiende que ambos tratamientos (identificación y autenticación) conllevan el tratamiento de datos especialmente protegidos, resultando tratamiento de alto riesgo para los derechos de los usuarios.
En este sentido, con el nuevo criterio adoptado, las empresas que tuviesen implementados sistemas de autenticación, para los que la base de legitimación válida en ese momento era cualquiera de las generales del art. 6 del Reglamento, ahora deben buscar una base de legitimación del artículo 9.2 del RGPD que levante la prohibición general, siendo mucho más restrictivas, cabiendo en estos supuestos como base legitimadora:
Actualmente no hay ley que obligue al tratamiento de datos biométricos, por tanto, se descartaría la primera opción solo quedando el consentimiento que pasa de ser expreso a explícito.
La AEPD adopta en su nueva guía que, para el supuesto de registro de jornada y que pueda darse un consentimiento libre a un tratamiento de datos biométricos, se debe poner a disposición del trabajador de una alternativa de libre elección para cumplir con dicha obligación (las tarjetas). Precisamente por eso, si hay alternativa no se justificaría la recogida por datos biométricos ni se estaría cumpliendo con el principio de minimización de datos recogido en el artículo 5.1.c del RGPD.
No obstante, la AEPD sí considera adecuado el tratamiento de los datos biométricos para el control de acceso basado en el consentimiento de los interesados siempre que se justificase que el medio alternativo ofrecido a los empleados o terceros no es equivalente al del control biométrico. Además de necesario, debe resultar idóneo para la finalidad prevista, así como proporcionado en sentido estricto (que el uso de datos biométricos no solo resulte beneficioso para el empresario sino que también ofrezca beneficios para el trabajador).
Las conclusiones de la AEPD establecerían que:
De cualquier modo, habrá que estar pendiente de futuras aclaraciones y recomendaciones del mismo órgano (AEPD) a la vista del calado e implicaciones que, en ámbito empresarial, supone este cambio de criterio.
Nota informativa redactada por Tourism & Law.