L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat recentment la “Guia Tractaments de control de presència mitjançant sistemes biomètrics“, un document que estableix els criteris per a l’aplicació de la biometria en el control d’accés, tant en entorns laborals com no laborals. Aquest informe detalla les mesures necessàries per garantir que el tractament de dades personals mitjançant aquesta tecnologia compleix amb el Reglament General de Protecció de Dades (RGPD) i altres normatives pertinents.
L’AEPD considera el tractament de dades biomètriques, ja sigui per a fins d’identificació o autenticació, com un procés d’alt risc que implica categories especials de dades. D’acord amb el RGPD, el tractament d’aquestes categories exigeix l’existència de circumstàncies que aixequin la prohibició de la seva gestió, així com condicions que ho legitimin.
En el context del registre de jornada i el control d’accés en entorns laborals, l’aixecament de la prohibició basat en l’article 9.2.b) del RGPD requereix que el responsable compti amb una norma legal específica que autoritzi l’ús de dades biomètriques per a aquests fins. La Guia subratlla que, en aquests casos, el consentiment no pot anul·lar la prohibició ni ser la base per determinar la licitud del tractament, a causa d’un desequilibri entre la persona afectada i el responsable del tractament.
En situacions fora de l’àmbit laboral, el consentiment tampoc pot aixecar la prohibició, ja que es tracta d’un tractament d’alt risc i no satisfà el requisit de necessitat (article 35.7.b).
La Guia també estableix restriccions per als tractaments biomètrics que impliquen presa de decisions automatitzades sense intervenció humana, amb impacte jurídic o significatiu per a la persona afectada.
En tots els casos, abans d’iniciar el tractament de dades biomètriques, es requereix realitzar una Avaluació d’Impacte per a la Protecció de Dades. Aquesta avaluació ha d’acreditar la superació de l’anàlisi d’idoneïtat, necessitat i proporcionalitat del tractament.
Finalment, l’AEPD proporciona un conjunt de mesures a seguir un cop s’han complert tots els requisits de conformitat amb els principis del RGPD, incloent la informació adequada a les persones afectades, la possibilitat de revocar la identificació biomètrica, l’ús de xifrat per protegir la informació, l’eliminació de dades no vinculades a la finalitat original, la implementació de protecció de dades des del disseny i l’aplicació de la minimització de dades recopilades.
Si voleu ampliar la informació, podeu posar-vos en contacte amb el departament laboral d’addwill a través del telèfon +34 487 52 00 o del correu electrònic laboral@addwill.eu, o si ho preferiu, podeu contactar-nos a través del nostre formulari fent clic aquí.