¿Qué debes saber sobre la biometría y la privacidad? Consejos y recomendaciones de la AEPD (II)

En la primera parte del artículo, te explicamos los conceptos generales y los criterios que debes tener en cuenta si vas a utilizar o a someterte a un sistema de control de presencia mediante datos biométricos, basándonos en la guía que ha publicado la Agencia Española de Protección de Datos (“AEPD”) sobre este tema.

En esta segunda parte, te explicamos las bases jurídicas que se pueden aplicar para legitimar el uso de la biometría y levantar la prohibición de tratar datos personales especiales, así como las medidas de seguridad que debes adoptar al implementar un sistema de este tipo.

¿Qué bases jurídicas se pueden aplicar al uso de la biometría para el control de presencia?

Como hemos visto, el uso de la biometría para el control de presencia requiere una base jurídica que legitime el tratamiento, además de cumplir con alguna de las excepciones que levantan la prohibición de tratar datos personales especiales. La base jurídica dependerá de la finalidad que se persiga con el control de presencia, y puede ser una de las siguientes:

  • El cumplimiento de una obligación legal, cuando el control de presencia se realice para el registro de jornada laboral, de acuerdo con lo establecido en el artículo 34.9 del Estatuto de los Trabajadores y el Real Decreto-Ley 8/2019. En este caso, la excepción que levanta la prohibición de tratar datos biométricos es la del artículo 9.2.b del Reglamento General de Protección de Datos (“RGPD”), que se refiere al cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito laboral. Además, se necesita una norma con rango de ley que autorice expresamente el uso de la biometría para esta finalidad, como la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (“LOPDGDD”) o la Ley de Prevención de Riesgos Laborales (“LPRL”).
  • El interés legítimo del responsable, cuando el control de presencia se realice para el control de acceso con fines laborales, como la seguridad o la prevención de fraudes. En este caso, la excepción que levanta la prohibición de tratar datos biométricos es la misma que en el caso anterior, pero se debe realizar una ponderación entre el interés legítimo del responsable y los derechos y libertades de los trabajadores, teniendo en cuenta las expectativas razonables de estos, el impacto del tratamiento y las medidas adoptadas para mitigarlo.
  • El consentimiento del interesado, cuando el control de presencia se realice para el control de acceso con otras finalidades, como la prevención de contagios o la gestión de aforos. En este caso, la excepción que levanta la prohibición de tratar datos biométricos es la del artículo 9.2.a del RGPD, que se refiere al consentimiento explícito del interesado. Sin embargo, el consentimiento debe ser libre, específico, informado e inequívoco, lo que implica que el interesado pueda negarse o retirarlo sin sufrir ningún perjuicio, que se le informe de las características y los riesgos del tratamiento, y que se le solicite de forma clara y separada de otros asuntos.

Es importante destacar que el consentimiento de los interesados no es válido para levantar la prohibición ni para legitimar el tratamiento de datos biométricos cuando exista un desequilibrio de poder entre las partes, como ocurre en el ámbito laboral. Por tanto, el consentimiento solo se puede utilizar como base jurídica en casos excepcionales, cuando el tratamiento no sea necesario para el cumplimiento de un contrato o de una obligación legal, y cuando el interesado tenga la posibilidad real de aceptar o rechazar el tratamiento sin consecuencias negativas.

¿Qué medidas de seguridad se deben adoptar para proteger los datos biométricos?

El uso de la biometría para el control de presencia implica un alto riesgo para los derechos y libertades de las personas, ya que los datos biométricos son únicos, inalterables y permanentes, y pueden revelar información sensible sobre las personas. Por tanto, se deben adoptar medidas de seguridad adecuadas para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.

Entre estas medidas, la guía de la AEPD recomienda las siguientes:

  • Utilizar sistemas de biometría que no almacenen los datos biométricos en bruto, sino que los transformen en códigos cifrados o plantillas biométricas, que solo permitan la identificación o la autenticación, y no la reconstrucción de los rasgos originales.
  • Aplicar técnicas de cifrado, anonimización o seudonimización a los datos biométricos, tanto en el momento de la captura como en el de la transmisión y el almacenamiento, de forma que solo se puedan acceder a ellos mediante claves o códigos de autorización.
  • Establecer mecanismos de control de acceso, registro de actividad y auditoría, que permitan verificar quién, cuándo y cómo ha accedido, modificado o eliminado los datos biométricos, y detectar posibles incidentes o anomalías.
  • Implementar protocolos de actuación en caso de brecha de seguridad, que incluyan la notificación a la AEPD y a los interesados, la evaluación del impacto y la adopción de medidas correctivas.
¿Qué ocurre si el responsable del tratamiento subcontrata a otro proveedor para realizar el tratamiento en su nombre?

Es posible que el responsable del tratamiento de datos biométricos para el control de presencia subcontrate a otro proveedor para realizar el tratamiento en su nombre, por ejemplo, para instalar, configurar o mantener el sistema de biometría. En este caso, el proveedor actúa como encargado del tratamiento, y debe cumplir con las obligaciones que le impone el RGPD y otras normas.

Entre estas obligaciones, destaca la de formalizar un contrato de encargo del tratamiento con el responsable, que establezca las instrucciones del responsable, las obligaciones del encargado y las garantías de seguridad y confidencialidad de los datos.

¿Qué conclusiones y recomendaciones se pueden extraer de la guía de la AEPD?

El uso de la biometría para el control de presencia es un tratamiento de datos personales muy sensible, que implica un alto riesgo para los derechos y libertades de las personas, y que está sujeto a una regulación estricta. Por tanto, antes de optar por este medio, se debe realizar un análisis previo de idoneidad, necesidad y proporcionalidad, que justifique que este medio es el más adecuado, el más necesario y el menos lesivo para los intereses de las personas.

Además, se debe cumplir con los requisitos legales y técnicos que impone el RGPD y otras normativas, como la LOPDGDD o la LPRL, que incluyen la existencia de una base jurídica que legitime el tratamiento, el cumplimiento de alguna de las excepciones que levantan la prohibición de tratar datos personales especiales, el respeto de los principios y los derechos de los interesados, la realización de una evaluación de impacto para la protección de datos y la adopción de medidas de seguridad adecuadas.

Preguntas clave antes de implementar el uso de la biometría para el control de presencia en tu empresa
  • ¿Qué base jurídica vas a utilizar para legitimar el tratamiento de datos biométricos? El tratamiento de datos biométricos requiere una base jurídica que lo legitime, además de cumplir con alguna de las excepciones que levantan la prohibición de tratar datos personales especiales. La base jurídica dependerá de la finalidad que persigas con el control de presencia, y puede ser el cumplimiento de una obligación legal, el interés legítimo o el consentimiento.
  • ¿Qué medidas de seguridad vas a adoptar para proteger los datos biométricos? El tratamiento de datos biométricos implica un alto riesgo para los derechos y libertades de las personas, y por tanto se deben adoptar medidas de seguridad adecuadas para garantizar la confidencialidad, la integridad y la disponibilidad de los datos. Entre estas medidas, se recomienda utilizar sistemas de biometría que no almacenen los datos en bruto, sino que los transformen en códigos cifrados o plantillas biométricas, aplicar técnicas de cifrado, anonimización o seudonimización a los datos, establecer mecanismos de control de acceso, registro de actividad y auditoría, e implementar protocolos de actuación en caso de brecha de seguridad.
  • ¿Qué obligaciones tienes si subcontratas a otro proveedor para realizar el tratamiento en tu nombre? Si subcontratas a otro proveedor para realizar el tratamiento de datos biométricos en tu nombre, debes formalizar un contrato de encargo del tratamiento con él, que establezca las instrucciones, las obligaciones y las garantías de seguridad y confidencialidad de los datos. Además, debes supervisar que el proveedor cumpla con el contrato y con la normativa de protección de datos, y asumir la responsabilidad en caso de incumplimiento.

Estas son algunas de las preguntas clave que debes hacerte antes de tomar una decisión sobre el uso de la biometría en la implementación de un sistema d control de presencia en tu empresa. Si tienes alguna duda o consulta sobre este tema, no dudes en contactar con nuestro despacho. Desde Vintert estamos a tu disposición para orientarte y asesorarte de forma personalizada.

¡Contacta con nosotros!

Los campos con asterisco (*) son obligatorios.

El responsable del tratamiento de los datos personales facilitados en el formulario de contacto es Vintert, quien los tratará con la finalidad de atender y dar respuesta a las consultas que nos plantees a través del mismo. En la Política de Privacidad se facilita información adicional y detallada sobre protección de datos y se indica cómo ejercer los derechos de acceso, rectificación y supresión, así como otros derechos.