La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía de Tratamientos de control de presencia mediante sistemas biométricos, un documento que explica las dificultades que genera este tipo de sistemas por el peligro que plantean tanto en entornos laborales como no laborales.
La falta de una normativa con rango de ley que autorice a las empresas españolas a emplear tecnologías de identificación y autenticación biométricas, impide su empleo para el registro de jornada y el control de acceso, basados en el ámbito del Derecho laboral y de la seguridad y protección social, a pesar de su reconocimiento en el artículo 9.2 del Reglamento Europeo de Protección de Datos (RGPD), según anuncia la Agencia Española de Protección de Datos (AEPD). Por ello, este organismo exige que se apliquen medidas alternativas equivalentes, que sean menos intrusivas, y que traten los menos datos adicionales posibles.
Los sistemas de procesamiento de datos biométricos recogen y procesan datos personales relativos a las características físicas, fisiológicas o conductuales de las personas físicas, entre las que cabe incluir las características neuronales de estas, mediante dispositivos o sensores, creando plantillas biométricas que posibilitan la identificación, seguimiento o perfilado de dichas personas, tal y como se establece en el artículo 4.2 del RGPD.
Los datos biométricos se pueden recoger y usar de forma transversal entre múltiples servicios físicos y de Internet
Este Reglamento, define el artículo 4 .14 datos biométricos como "datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos". En la definición se establece que son datos biométricos todos aquellos que permitan la identificación o autenticación de una persona.
El problema es que estos nuevos sistemas aumentan el detalle de la información recogida, permiten la posibilidad de recoger información sin cooperación de la persona, a veces sin ser consciente de ello.
Es posible tratar información biométrica a través de la información disponible en la red y a mayores distancias. Además, el desarrollo de la inteligencia artificial permite inferir información adicional sobre el sujeto mediante incluso categorías de datos sensibles.
Destaca la AEPD, en su Guía sobre Tratamientos de Control de Presencia Mediante Sistemas Biométricos, que los datos biométricos se pueden recoger y usar de forma transversal entre múltiples servicios físicos y de Internet.
Como consecuencia de estos avances, se han producido cambios en el contexto normativo, social y tecnológico, incluso en un período corto y cercano, que llevan a plantearse los límites al tratamiento de datos biométricos y las medidas que han de establecerse para que un tratamiento de datos personales que decida utilizar sistemas biométricos garantice el cumplimiento del RGPD, o de otras normativas que incidan en estos sistemas, en el caso de basarse en técnicas de inteligencia artificial, como el futuro Reglamento Europeo sobre Inteligencia Artificial.
Atendiendo a lo establecido en los artículos 5.1.c y 25.1, en un tratamiento de control de presencia deben tratarse exclusivamente los datos necesarios para la consecución de dichos fines y no más de los necesarios.
Así mismo, hay que aplicar dicha minimización cuando el tratamiento, entre otros y como sucede cuando hay involucrados sistemas biométricos, implique un riesgo para los derechos y libertades de las personas físicas.
Por lo tanto, considera la AEPD que hay que justificar la necesidad de un tratamiento adicional de datos cuando las mismas finalidades se han estado alcanzando y se pueden alcanzar con otro tipo de implementación del tratamiento de registro de jornada equivalente y menos intrusivo.
En el caso del registro de jornada o del control de acceso en el ámbito laboral, el consentimiento del trabajador no sirve para levantar la prohibición del tratamiento, ni es una base para determinar la licitud, al existir de forma general, según la doctrina aplicada por la AEPD "una situación de desequilibrio entre el interesado y el responsable del tratamiento".
También, en control de acceso, fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que sirva tampoco para levantar la prohibición de realizar el tratamiento de los datos. En estos casos, tampoco el consentimiento podrá ser suficiente, al resultar un tratamiento de alto riesgo, y que tendría que superar el requisito de necesidad establecido para este tipo de tratamientos.
Alfredo Aspra, abogado laboralista y socio director de Labormatters explica que "la evaluación debe incluir una descripción sistemática de las operaciones previstas y de los fines del tratamiento, incluyendo el interés legítimo del responsable del tratamiento, si procede. Como el reconocimiento de datos biométricos es un sistema de identificación novedoso para los derechos y libertades fundamentales de las personas, el RGPD establece la obligación de gestionar el riesgo".
Considera la AEPD que cualquier utilización de los datos biométricos con finalidades adicionales a la de control de presencia deberá tener sus propias circunstancias de levantamiento de la prohibición y de condiciones que lo legitimen.
Será obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos
Y en el tratamiento de control de presencia, no se pueden tomar decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar basadas en el proceso biométrico, si no se cumple la circunstancia de un interés público esencial basado en una norma con rango de ley, proporcional al objetivo perseguido, que respete en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales.
Inteligencia artificial
Cuando el sistema biométrico se implemente con técnicas de inteligencia artificial, para poder incluirlos en un tratamiento se deberán tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial.
Y en cualquier caso, será obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.
Sistemas no laborales
Si la entidad supera todos los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas de identificación o autenticación, deberán implementarse garantías organizativas, técnicas y jurídicas.
En particular, al menos han de estar presentes diversas medidas por defecto, como son: la obligación de informar a los trabajadores, o personas si no se está en un entorno laboral, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
También, la implementación en el sistema biométrico de la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física, así como Implementar los medios técnicos para asegurar la imposibilidad de utilizar las plantillas para cualquier otro propósito.
En la misma línea, es preciso utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica; utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada; suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento; y aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no ha posibilidad de revelar categorías especiales de datos adicionales.
Requisitos para sistemas laborales
En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el artículo 91 de la Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Entre las medidas recomendables para minimizar el riesgo, la AEPD, destaca que el uso de estas tecnologías debería basarse en usar dispositivos bajo el control exclusivo de los usuarios.
También, recomienda que la toma de los datos se realice de forma consciente por el individuo e, incluso, con la exigencia de una acción positiva para iniciar el procesamiento de estos datos.
Determina la AEPD que no debe emplearse un almacenamiento centralizado de las plantillas biométricas si implementar mecanismos automatizados de supresión de datos. Considera que deben revisarse todas las acciones y las medidas implementadas se revisarán y actualizarán cuando sea necesario.
En relación con el control de acceso con fines laborales, éste se suele fundamentar en la previsión contenida en el artículo 20.3 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET).
Relacionados
- José Zamarriego (Ascom): Tenemos que trabajar por la racionalización de la norma, que ha crecido un 41% y ya es un imposible
- Tributos cambia el rumbo y dificulta los beneficios fiscales a la empresa familiar
- Rato pide anular la causa del origen de su fortuna porque se basa en una denuncia "mendaz" de la Fiscalía
- Hacienda aprueba el nuevo modelo para que trabajadores extranjeros se acojan a la Ley Beckham