Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

El control de presencia biométrico según el nuevo criterio de la AEPD

Analizamos el nuevo criterio de la AEPD para el uso del sistema de control de presencia biométrico en las empresas y otras organizaciones.

Criterio de la AEPD para el control de presencia biométrico

Tras la publicación de la guía sobre tratamientos de control de presencia mediante sistemas biométricos, la AEPD ha cambiado su criterio respecto a la licitud del tratamiento de datos biométricos para el control de presencia (es decir, el registro de la jornada laboral, así como el control de acceso).

Este cambio se debe a la adopción por parte de la AEPD de las directrices publicadas por el CEPD (Comité Europeo de Protección de Datos) en mayo de 2022, que establecen que la autenticación y la identificación biométrica son tratamientos de datos de categorías especiales (en este caso, datos biométricos, como la huella dactilar o el reconocimiento facial) y que, por lo tanto, su tratamiento está prohibido salvo que concurran las circunstancias previstas en el artículo 9 del RGPD, en concreto, la necesidad para el cumplimiento de obligaciones legales o el consentimiento explícito de los trabajadores para levantar su prohibición.

En su guía, la AEPD analiza estas cuestiones, que vamos a detallar en los siguientes puntos.

tarifas proteccion datos

Excepción del cumplimiento de obligaciones legales

El artículo 9.2.b) permite levantar la prohibición para el tratamiento de datos biométricos, si existe una obligación legal para el responsable del tratamiento.

En España no existe todavía una norma con rango de ley que contemple la identificación biométrica como necesaria para cumplir con la obligación del empleador y de los empleados de registrar la jornada laboral. Si bien es obligatorio llevar un registro de la jornada laboral, así como de las horas extra, ni en el Real Decreto-ley que lo regula, ni el Estatuto de los Trabajadores recogen la identificación biométrica como un método para ello.

Por lo tanto, actualmente el empleador no podría basar la licitud del tratamiento de datos biométricos del control de presencia en el artículo 9.2.b) del RGPD.

Cabe señalar, no obstante, que este artículo sí recoge la posibilidad de que el convenio colectivo sí contemple la identificación biométrica como medio para el control de presencia. Ahora bien, de acuerdo a la AEPD, debe estar debidamente justificado que no existe otro medio igual de eficaz y menos intrusivo para llevar a cabo la finalidad del registro de la jornada laboral o el control de acceso.

Es decir, el responsable del tratamiento debe justificar suficientemente por qué otros medios, como, por ejemplo, tarjetas o claves, no son adecuados para llevar el control de presencia y es necesario recurrir a un sistema biométrico, como el escaneo facial o de la huella digital o del iris.

Excepción del consentimiento explícito

El artículo 9.2.a) contempla el consentimiento explícito de los interesados para levantar la prohibición del tratamiento de datos de categorías especiales.

En el caso de los sistemas biométricos para el control de presencia, la AEPD dice, siguiendo el criterio del CEPD, que en el entorno laboral, este consentimiento no puede considerarse realmente libre, dada la relación de desequilibrio de poder que existe entre empleadores y empleados.

Podría considerarse libre el consentimiento para usar estos sistemas de control de presencia biométrico, si los trabajadores tuvieran una alternativa, como el uso de tarjetas, de manera que se pueden negar, sin consecuencias, a usar el sistema biométrico y optar por el medio alternativo (que debe cumplir con las mismas funciones y garantías que el otro).

Sin embargo, para la AEPD (que aquí establece su propia interpretación), dado que existe una alternativa menos intrusiva y con menos riesgos para los derechos y libertades de los interesados, la necesidad de usar el control de presencia biométrico deja de ser necesaria y, por tanto, válida.

Es decir, que dado que existen medios menos intrusivos y más garantistas, que no requieren del uso de datos biométricos (recordemos, datos especialmente protegidos), se deben emplear estos y no un sistema de control de presencia biométrico (incluso si los trabajadores dieran su consentimiento explícito para usarlo).

Evaluación de impacto y garantías

En el caso de que se contemple la implantación de un sistema de control de presencia biométrico (porque así lo recoja el convenio colectivo), antes de llevar a cabo dicha implantación, la AEPD nos recuerda que es necesario llevar a cabo una Evaluación de Impacto para la Protección de Datos (EIPD), que debe incluir siempre un juicio de idoneidad, necesidad y proporcionalidad.

En el caso de que se supere la EIPD y se implante un sistema de identificación biométrica (podría ser el caso de una instalación crítica, donde la seguridad sea máxima y se requiera para el control de acceso), también deberán adoptarse las siguientes medidas por defecto:

  • Informar a los interesados sobre el tratamiento de datos biométricos y los riesgos que implica para sus derechos y libertades.
  • Cifrar la plantilla biométrica para protegerla.
  • Implementar medidas técnicas que imposibiliten el uso de la plantilla biométrica para otras finalidades.
  • Implementar la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona.
  • Impedir la interconexión de bases de datos biométricos y la divulgación de datos.
  • Suprimir los datos biométricos cuando no sean necesarios para la finalidad para la que se crearon.
  • Aplicar el principio de minimización y recabar solo aquellos datos biométricos que sean estrictamente necesarios.
  • Recoger en el convenio colectivo el conjunto de garantías respecto al tratamiento de datos biométricos.

¿Qué hacer si en mi empresa usamos un sistema de control de presencia biométrico?

En el caso de que en tu empresa estéis usando un sistema de control de presencia biométrico, como usar la huella dactilar para fichar, lo más recomendable es que dejéis de usarlo y ceséis cuanto antes el tratamiento de dichos datos, buscando una alternativa que no contradiga el criterio actual de la AEPD.

Es importante señalar que la AEPD no prohíbe en sí el tratamiento de datos biométricos, pero sí que endurece las condiciones en que se puede hacer, que son más complejas y restrictivas, por lo que es muy probable que muchas empresas que usan estos sistemas biométricos se encuentren en una situación en la que están vulnerando el RGPD.

En caso de que el convenio colectivo lo contemple, habrá de realizarse la correspondiente EIPD y superarla para poder seguir usando el control de presencia biométrico.

Finalmente, la AEPD no ha dado ningún periodo de gracia para adaptarse a este nuevo criterio en el uso de sistemas de control de presencia biométricos, por lo que seguir usándolos supone el riesgo de que la empresa sea denunciada y sancionada. Por lo tanto, nuestro consejo es, por el momento, cesar su uso. Y si tienes dudas, ponte en contacto con nuestros expertos en protección de datos y te ayudarán a resolverlas.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.