La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la «Guía Tratamientos de control de presencia mediante sistemas biométricos«, un documento que establece los criterios para la aplicación de la biometría en el control de acceso, tanto en entornos laborales como no laborales. Este informe detalla las medidas necesarias para garantizar que el tratamiento de datos personales mediante esta tecnología cumple con el Reglamento General de Protección de Datos (RGPD) y otras normativas pertinentes.
La AEPD considera el tratamiento de datos biométricos, ya sea para fines de identificación o autenticación, como un proceso de alto riesgo que involucra categorías especiales de datos. De acuerdo con el RGPD, el tratamiento de estas categorías exige la existencia de circunstancias que levanten la prohibición de su manejo, así como condiciones que lo legitimen.
En el contexto del registro de jornada y el control de acceso en entornos laborales, el levantamiento de la prohibición basado en el artículo 9.2.b) del RGPD requiere que el responsable cuente con una norma legal específica que autorice el uso de datos biométricos para dichos propósitos. La Guía subraya que, en estos casos, el consentimiento no puede anular la prohibición ni ser la base para determinar la licitud del tratamiento, debido a un desequilibrio entre la persona afectada y el responsable del tratamiento.
En situaciones fuera del ámbito laboral, el consentimiento tampoco puede levantar la prohibición, ya que se trata de un tratamiento de alto riesgo y no satisface el requisito de necesidad (artículo 35.7.b).
La Guía también establece restricciones para los tratamientos biométricos que implican toma de decisiones automatizadas sin intervención humana, con impacto jurídico o significativo para la persona afectada.
En todos los casos, antes de iniciar el tratamiento de datos biométricos, se requiere realizar una Evaluación de Impacto para la Protección de Datos. Esta evaluación debe acreditar la superación del análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Finalmente, la AEPD proporciona un conjunto de medidas a seguir una vez que se han cumplido todos los requisitos de conformidad con los principios del RGPD, incluyendo la información adecuada a las personas afectadas, la posibilidad de revocar la identificación biométrica, el uso de cifrado para proteger la información, la eliminación de datos no vinculados a la finalidad original, la implementación de protección de datos desde el diseño, y la aplicación de la minimización de datos recopilados.
Si queréis ampliar la información, podéis poneros en contacto con el departamento de laboral de addwill a través del teléfono +34 487 52 00 o del email laboral@addwill.eu, o si lo preferís podéis contactarnos a través de nuestro formulario haciendo clic aquí.