Ayer día 23 de Noviembre 2023, se publicó en la web oficial de la Agencia Española de Protección de Datos la nueva Guía sobre Tratamientos de Control de Presencia Mediante Sistemas Biométricos, donde se establece la nueva normativa ante la recogida y tratamiento de los datos biométricos de toma de huellas dactilares así como reconocimiento facial tanto para control de accesos, como para control de jornada laboral.
Datos Biométricos y Control de Asistencia
Control de presencia: conjunto de tratamientos utilizados para controlar el registro de la jornada laboral, el control de acceso para fines laborales y el control de acceso para finalidades no laborales . Los tratamientos de los datos recabados para esta finalidad deben ser adecuados, pertinentes y limitados al mínimo necesario.
Datos biométricos: se definen los datos biométricos como datos personales de categoría especial, cuyo tratamiento supone un alto riesgo para los derechos y libertades de las personas físicas. Tanto en su definición de identificación como autentificación. Un criterio que la AEPD ya anunciaba en informes y resoluciones anteriores a esta Guía.
Prohibición general de tratar datos de categoría especial: conforme al artículo 9 del RGPD (Reglamento General de Protección de Datos), existe una prohibición general en el uso de datos biométricos, salvo casos específicos tasados por el propio RGPD.
Para poder tratar datos biométricos, se tendrá que levantar esta prohibición y, además, contar con una condición que legitime el tratamiento, de las previstas en el artículo 6 del RGPD.
Registro Jornada y Control Acceso Laboral
A raíz de la publicación de esta nueva guía, el consentimiento de los empleados no es excepción suficiente para levantar la prohibición de uso de los datos biométricos.
Además, la AEPD considera que, actualmente, en la legislación española no existe amparo suficiente para permitir el uso de los datos biométricos que pueda justificarse en el cumplimiento de una Ley, ni para el personal laboral ni para el personal sometido a relación administrativa.
Control de Accesos con fines NO Laborales
En este supuesto, la Agencia llega a la conclusión que el tratamiento de datos biométricos para el control de acceso no laboral no puede ampararse en el consentimiento de los usuarios, ni tampoco en la ejecución de un contrato o un interés legítimo.
Decisiones Automatizadas
En caso de poder captar y utilizar datos biométricos, se deberá realizar de forma obligatoria una Evaluación de Impacto para la Protección de Datos, de forma previa a la implantación de cualquier técnica o medida, que en todo caso deberá ser: idónea, necesaria y proporcional.
Las decisiones automatizadas sin intervención humana no podrán recabar ni tratar datos biométricos.
También se deberán aplicar una serie de medidas para garantizar la seguridad y confidencialidad de la información biométrica. Todo ello con el objetivo de minimizar el tratamiento y el riesgo.
Conclusiones
Siguiendo el criterio de la AEPD, a partir de ahora, las entidades no podrán utilizar sistemas de control biométrico (huella dactilar o reconocimiento facial) en el control de acceso o registro de la jornada laboral . Cualquier entidad que los utilice puede ser sancionada por la AEPD.
Esta prohibición también afecta a las entidades que supervisen el acceso de usuarios o clientes a determinados espacios para fines no laborales, como por ejemplo, gimnasios o comunidades de propietarios, entre otras, que no podrán eludir la prohibición de tratar datos biométricos, ni siquiera en base al consentimiento de los interesados o en la ejecución de un contrato.
*Nuestros entrenadores Colegiados pueden descargar la guía completa en la biblioteca jurídica de la Intranet.