La biometría es una tecnología que permite identificar o autenticar a las personas a partir de sus rasgos físicos o de comportamiento, como la huella dactilar, el rostro o el iris. Cada vez más, se utiliza para el control de presencia y acceso en diferentes ámbitos, como el laboral, el educativo o el sanitario. Sin embargo, se trata de un tratamiento de datos personales muy sensible, que implica un alto riesgo para los derechos y libertades de las personas, y que está sujeto a una regulación estricta.
En este artículo, te explicamos las principales cuestiones que debes tener en cuenta si vas a utilizar o a someterte a un sistema de control de presencia mediante datos biométricos, basándonos en la guía que ha publicado la Agencia Española de Protección de Datos (“AEPD”) sobre este tema.
El artículo se divide en dos partes. En la primera parte, te explicamos los conceptos generales y los criterios que debes tener en cuenta para el tratamiento de datos biométricos. En la segunda parte, te explicamos las bases jurídicas que se pueden aplicar para legitimar el uso de la biometría, así como las medidas de seguridad que debes cumplir al implementar un sistema de este tipo.
¿Qué tipos de biometría existen y cómo se usan para el control de presencia?
Existen diferentes tipos de biometría, según el rasgo que se utilice para identificar o autenticar a las personas. Algunos de los más comunes son:
- La huella dactilar, que se basa en el patrón de las crestas y los surcos de la yema de los dedos.
- El reconocimiento facial, que se basa en las características del rostro, como la distancia entre los ojos, la forma de la nariz o el contorno de la boca.
- El reconocimiento del iris, que se basa en el patrón de colores y texturas de la parte coloreada del ojo.
- El reconocimiento de voz, que se basa en las características acústicas de la voz, como el tono, el timbre o el acento.
- El reconocimiento de la firma, que se basa en la forma, el tamaño y la velocidad de la firma manuscrita.
Estos tipos de biometría se pueden usar para dos fines distintos: la identificación o la autenticación. La identificación consiste en determinar la identidad de una persona a partir de su rasgo biométrico, comparándolo con una base de datos de rasgos previamente registrados. La autenticación consiste en verificar que una persona es quien dice ser, a partir de su rasgo biométrico y de un elemento adicional, como una contraseña, una tarjeta o un código.
El control de presencia es una finalidad que puede implicar tanto la identificación como la autenticación biométricas, según el caso. Por ejemplo, para registrar la jornada laboral de los trabajadores, se puede usar la identificación biométrica, de forma que el sistema reconozca al trabajador por su huella dactilar y registre su entrada y salida. Para controlar el acceso a un recinto restringido, se puede usar la autenticación biométrica, de forma que el sistema verifique que el usuario tiene autorización para entrar, por su rostro y su tarjeta.
¿Qué normativa regula el uso de la biometría para el control de presencia?
El uso de la biometría para el control de presencia implica el tratamiento de datos personales, y por tanto está regulado por el Reglamento General de Protección de Datos (“RGPD”) y otras normas complementarias, como la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”) o la Ley de Prevención de Riesgos Laborales (“LPRL”).
El RGPD establece que los datos personales solo se pueden tratar si existe una base jurídica que lo legitime, como el consentimiento, el cumplimiento de una obligación legal o el interés legítimo. Además, el RGPD distingue entre datos personales ordinarios y datos personales especiales, que son aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona.
Los datos personales especiales están prohibidos de tratar, salvo que se cumpla alguna de las excepciones previstas en el artículo 9 del RGPD. Una de estas excepciones es que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito laboral, siempre que exista una norma con rango de ley que lo autorice. Otra excepción es que el interesado haya dado su consentimiento explícito al tratamiento, siempre que sea libre, específico, informado e inequívoco.
Los datos biométricos son datos personales especiales, cuando se traten con la finalidad de identificar de manera unívoca a una persona física. Por tanto, el uso de la biometría para el control de presencia está prohibido, salvo que se cumpla alguna de las excepciones mencionadas. Además, se necesita una base jurídica que legitime el tratamiento, según la finalidad perseguida.
¿Qué requisitos se deben cumplir para usar la biometría para el control de presencia?
El uso de la biometría para el control de presencia no es el único medio para realizar esta finalidad, sino que existen otras alternativas menos intrusivas, como las tarjetas, los códigos o las claves. Por tanto, antes de optar por la biometría, se debe realizar un análisis de idoneidad, necesidad y proporcionalidad, que justifique que este medio es el más adecuado, el más necesario y el menos lesivo para los derechos y libertades de las personas.
Además, se deben cumplir los principios de minimización, limitación de la finalidad y seguridad de los datos, que implican que solo se deben tratar los datos biométricos imprescindibles para el control de presencia, que no se deben usar para otras finalidades distintas, y que se deben adoptar medidas técnicas y organizativas para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.
Asimismo, se deben respetar los derechos de los interesados, que son las personas cuyos datos biométricos se tratan. Estos derechos son el derecho de información, el derecho de acceso, el derecho de rectificación, el derecho de supresión, el derecho de oposición, el derecho de limitación del tratamiento, el derecho a la portabilidad y el derecho a no ser objeto de decisiones automatizadas.
Finalmente, se debe realizar una evaluación de impacto para la protección de datos (“EIPD”), que es un proceso que permite identificar, valorar y mitigar los riesgos que el tratamiento de datos biométricos para el control de presencia puede suponer para los derechos y libertades de las personas. La EIPD debe realizarse antes de iniciar el tratamiento, y debe revisarse periódicamente o cuando se produzcan cambios significativos en el mismo.
Preguntas clave antes de implementar la biometría para el control de presencia en tu empresa
- ¿Qué tipo de biometría vas a utilizar y para qué finalidad? No es lo mismo usar la huella dactilar para el registro de jornada que el reconocimiento facial para el control de acceso a un recinto restringido. Cada tipo de biometría tiene sus ventajas y sus inconvenientes, y cada finalidad tiene sus requisitos legales y técnicos.
- ¿Qué alternativas menos intrusivas existen para el control de presencia? La biometría no es el único medio para realizar el control de presencia, sino que existen otras opciones menos invasivas para la privacidad de las personas, como las tarjetas, los códigos o las claves. Debes valorar si la biometría es realmente necesaria y proporcional para el control de presencia, o si puedes optar por otro medio más adecuado.
- ¿Qué derechos tienen las personas cuyos datos biométricos vas a tratar? Las personas cuyos datos biométricos vas a tratar tienen una serie de derechos que debes respetar y facilitar, como el derecho de información, el derecho de acceso, el derecho de rectificación, el derecho de supresión, el derecho de oposición, el derecho de limitación del tratamiento, el derecho a la portabilidad y el derecho a no ser objeto de decisiones automatizadas. Debes informarles de forma clara y transparente sobre el tratamiento de sus datos, y atender sus solicitudes de forma diligente y efectiva.
Hasta aquí la primera parte del artículo sobre la biometría para el control de presencia. En la segunda parte, te explicaremos las bases jurídicas que se pueden aplicar para levantar la prohibición de tratar datos personales biométricos, y las medidas de seguridad aplicables a tal fin.
¡Contacta con nosotros!
Los campos con asterisco (*) son obligatorios.