La Agencia Española de Protección de Datos (AEPD) publicó el pasado 23 de noviembre de 2023 la Guía sobre Tratamientos de Control de Presencia mediante Sistemas Biométricos.

La AEPD establece que el tratamiento de datos biométricos, tanto para la identificación como la autenticación, se considera un tratamiento de alto riesgo siendo necesario un levantamiento de la prohibición regulado en el artículo 9.2 RGPD.

La Agencia indica que se debe seguir una plantilla biométrica para identificar la identidad de forma directa e indirecta a tenor de lo dispuesto en el artículo 4.1 RGPD. Igualmente, se específica que el tratamiento de fotografía de forma sistemática no debe considerarse un tratamiento de categorías especiales

Respecto al Registro de Jornada Laboral, que se regula en el Real Decreto Ley 8/2019 de 8 de Marzo, recordamos que debemos distinguir:

  • Control Acceso con fines laborales
  • Control Acceso con otros fines

Teniendo en cuenta, en todo momento, el principio de minimización de datos regulado en el artículo 5.1 C) en correlación con el artículo 24.1, 25.1 y 34 del RGPD, la Guía, especifica, que para el levantamiento de la prohibición de tratamiento de alto riesgo debemos tener en cuenta el artículo 5.1 c) en correlación con el artículo 39 ambos artículos del RGPD.

El levantamiento de la prohibición se puede llevar a cabo por:

  • Necesidad→ Artículo 9.2.b) RGPD
  • Excepción→ Artículo 9.2. b) RGPD
  • Idoneidad→ Artículo 9.2. b) RGPD

¿Qué es el consentimiento de los datos personales?

El consentimiento es una de las bases jurídicas que permite el tratamiento de datos personales (RGPD). Sin embargo, en las relaciones laborales, el consentimiento no siempre es una base jurídica idónea, ya que existe un desequilibrio de poder entre el empleado y el empleador.

Este desequilibrio de poder puede hacer que el empleado pueda sentirse presionado a firmar incluso si no lo desea realmente. Esto puede impedir que el consentimiento se otorgue de manera libre, como exige el RGPD. El Comité Europeo de Protección de Datos (CEPD), organismo encargado de velar por la aplicación del RGPD en la Unión Europea, reconoce este problema. En sus Directrices 5/2020 sobre el consentimiento en el contexto del RGPD, el CEPD establece que, en general, el consentimiento no es una base jurídica adecuada para el tratamiento de datos personales en las relaciones laborales.

Sin embargo, el CEPD también deja abierta la posibilidad de que los empleadores utilicen el consentimiento como base jurídica, siempre y cuando puedan demostrar que dicho consentimiento se ha otorgado de manera libre. Para ello, los empleadores deben ser capaces de demostrar que los empleados han tenido una verdadera oportunidad de elegir si otorgan o no su consentimiento, y que la decisión de dar o no ese consentimiento no ha tenido consecuencias adversas para ellos.

Para la licitud del tratamiento debemos hacer referencia al artículo 34.9 ET y al artículo 6.1.c) del RGPD, mientras que, para las decisiones automatizadas debemos aplicar las restricciones del artículo 22 RGPD.

¿Cómo han de tratarse los datos biométricos?

Los datos biométricos deben ser tratados de forma segura, adoptando las medidas técnicas y organizativas necesarias para garantizar su confidencialidad, integridad y disponibilidad, siendo necesario realizar una Gestión de Riesgos y Evaluación de Impacto para la Protección de Datos (EIPD)

Respecto a la Gestión de Riesgos (artículo 24 RGPD) y EIPD (art 35 y 36 RGPD), es indispensable, antes de implementar un sistema de control de presencia mediante sistemas biométricos, conforme al Reglamento General de Protección de Datos (RGPD). Se enfatiza la aplicación de medidas técnicas y organizativas desde el diseño para garantizar la conformidad con el RGPD. Debido al alto riesgo asociado, se menciona la necesidad de superar favorablemente un triple juicio de idoneidad, necesidad y proporcionalidad estricta en la EIPD.

En conclusión

Concluimos que para realizar el tratamiento de datos biométrico, el cual se considera de Categoría Especial y de Alto Riesgo se requiere las siguientes medidas:

  • Minimización y Protección de Datos
  • Condiciones específicas para el levantamiento de la prohibición a tenor de lo dispuesto en el artículo 9.2 RGPD
  • Prohibición de Decisiones Automatizadas
  • Se establecen medidas recomendables para minimizar el riesgo
  • Se establecen medidas recomendables para minimizar el riesgo

Todas las medidas requeridas por la AEPD hacen muy difícil el uso de los sistemas de tratamiento biométrico, por ello te recomendamos te dejes guiar por consultores expertos en seguridad de la información para evitar incumplimientos normativos.

¿Necesitas ayuda en el tratamiento de los datos biométricos?

Desde Grupo Ingertec te ayudamos a entender y seguir la normativa iniciada en la Guía Sobre Tratamiento de Control de Presencia mediante Sistemas Biométricos.

Contacta con nosotros para más información y uno de nuestros especialistas se pondrá en contacto contigo.

900 897 931
Pide tu presupuesto
¡Suscríbete a nuestra Newsletter!
Linkedin Youtube Instagram Envelope