Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Los datos biométricos en la normativa de protección de datos RGPD

Los datos biométricos son aquellos que permiten reconocer a una persona de acuerdo a sus características fisiológicas o según sus conductas. Es decir, que a partir del análisis previo de huellas dactilares, geometría de la mano, retina o iris del ojo o imagen facial (por citar algunos) y de su registro y comparación, se puede identificar a una persona de manera inequívoca.

En la actualidad, cuando se usan con fines de identificación o autenticación, tienen consideración de datos personales de categorías especiales. En este artículo detallamos cómo se regula el tratamiento de datos biométricos en el RGPD.

Los datos biométricos en la normativa de protección de datos RGPD

El Reglamento General de protección de Datos o RGPD define a los datos biométricos como aquellas características fisiológicas, físicas o conductuales empleadas para identificar a una persona de forma unívoca. Es decir, que permiten la identificación única de una persona.

Los datos biométricos son aquellos que permiten analizar los rasgos y características físicas de una persona. En relación a la identidad digital, se usan para comprobar las características físicas únicas y la singularidad de una persona para verificar que es quien dice ser.

Hablamos, por lo tanto, de huellas dactilares, el reconocimiento facial, el escáner del iris, la geometría de la mano, pulsación de teclas, forma de andar, etc., que, mediante el uso de medios tecnológicos, pueden emplearse para identificar a una persona.

tarifas proteccion datos

¿Cómo deben tratarse estos datos biométricos según el RGPD?

El Reglamento General de Protección de Datos (RGPD) considera el tratamiento de datos biométricos como tratamiento de categorías especiales de datos y, por tanto, como datos especialmente protegidos, cuando esta información biométrica se usa para identificar de manera inequívoca a una persona física, usando para ello medios técnicos específicos.

La protección de datos biométricos está regulada en el artículo 9 del RGPD (junto al resto de categorías especiales de datos personales). El apartado 1 de este artículo establece, como norma general, la prohibición de tratar datos biométricos con fines de identificación.

El artículo 9.2 del RGPD hace referencia a los casos en los que el tratamiento de datos biométricos está permitido, indicando que “el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad“.

Por su parte, la Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD) regula en los mismos términos que el RGPD el uso de datos biométricos, con la inclusión, en la disposición final undécima, de la siguiente condición para levantar la prohibición para su tratamiento: “[…] el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley”.

Los datos biométricos y los sistemas de fichaje. ¿Qué dice la AEPD?

Hasta hace poco existía una diferente consideración hacia los datos biométricos, en función de si estos eran usados para identificación o autenticación.

Los datos biométricos para identificación eran considerados como categorías especiales de datos y, por tanto, debían tener una protección especial. Sin embargo, los datos biométricos para autenticación no pertenecían a dicha categoría, lo que abría la puerta a su uso en diversos ámbitos, por ejemplo en sistemas para el registro de la jornada laboral de los trabajadores. Así se reflejaba en diversas sentencias del Tribunal Supremo que habían sentado jurisprudencia.

Sin embargo, recientemente el Comité Europeo de Protección de Datos ha promulgado una normativa de obligatorio cumplimiento que viene a contradecir todo lo expuesto anteriormente. Es decir, a partir de ahora, los datos biométricos tienen la misma condición de categorías especiales de datos, tanto si son usados para identificación como para autenticación.

Por tanto, desde ahora el uso de dispositivos biométricos para el registro de la jornada laboral estará prohibido, y así lo recoge la Agencia Española de Protección de Datos en su Guía sobre tratamientos de control de presencia mediante dispositivos biométricos. Tal y como señala la AEPD, la única posibilidad para que se levante esta prohibición es que exista una circunstancia que lo exija y una condición que lo legitime,

Obligaciones para empresas que tratan datos biométricos

Si bien la AEPD no prohíbe completamente el uso de datos biométricos para el control de presencia, sí que su utilización es ahora más compleja y restrictiva (por lo que se recomienda no utilizarlos y recurrir a medidas alternativas para ello, como las tarjetas RFID).

En cualquier caso, si la empresa u organización va a tratar datos biométricos, estas son las obligaciones en protección de datos que debe cumplir:

Obligaciones de protección de datos para empresas que tratan datos biométricos

Obligaciones para empresas que tratan datos biométricos Respecto a LOPD/RGPD

  • Deber de información: Aquellos que traten datos biométricos deben informar a los interesados sobre la identidad de los responsables, encargados del tratamiento o sus representantes, la finalidad del tratamiento, el plazo de conservación de datos, la cesión de datos a terceros o las vías para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
  • Consentimiento de los afectados: El afectado deberá dar su consentimiento explícito al tratamiento de dichos datos, con la finalidad de dicho tratamiento especificada. Es importante señalar que el consentimiento solo puede levantar la prohibición del tratamiento de datos biométricos, cuando este se da libre y voluntariamente, es decir, cuando el consentimiento no viene ‘viciado’ por una relación desigual (como ya hemos visto que ocurre con en la relación laboral).
  • Deber de seguridad: Los responsables del tratamiento han de aplicar de manera proactiva todas las medidas necesarias para garantizar la seguridad e integridad de la información, con el objetivo de evitar la pérdida o el robo de datos o los accesos por parte de terceros no autorizados. También han de informar a la AEPD si se produce una brecha de seguridad en un plazo de 72 horas.
  • Deber de confidencialidad: También se ha de cumplir con el deber de confidencialidad, esto es, no revelar a terceros los datos a los que se ha tenido acceso. Esto incluye la obligatoriedad de firmar un acuerdo de confidencialidad con los encargados del tratamiento o con los empleados que tengan acceso a los datos biométricos. 
  • Evaluación de Impacto: Es obligatoria la realización de una EIPD del sistema que se usará para el tratamiento. A través de esta evaluación de impacto se determinarán las medidas necesarias para garantizar la protección y seguridad de los datos biométricos. 
  • Principio de necesidad, idoneidad y proporcionalidad en el tratamiento: Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el interesado:
    • El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.
    • El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.
  • Registro de las actividades de tratamiento: Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad. Una base de datos biométricos deberá contener como mínimo la siguiente información:
    • Nombre y los datos de contacto del responsable del tratamiento y, en su caso, del encargado, el representante del responsable y el Delegado de Protección de Datos.
    • Fines del tratamiento
    • Descripción de las categorías de interesados y de las categorías de datos personales
    • Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
    • Plazos previstos para la supresión de las diferentes categorías de datos
  • Designar un Delegado de Protección de Datos.

¿Tratas con datos biométricos en tu empresa o estás pensando en implantar algún tipo de sistema biométrico?

Aunque el uso de datos biométricos para el control de presencia queda prácticamente descartado por la AEPD, eso no quiere decir que no existan otras instancias en las que se realicen tratamiento de datos biométricos (siempre que exista una base legitimadora válida para levantar su prohibición y se cumplan el resto de requisitos y obligaciones vistas a lo largo de este artículo).

Por lo que si tu empresa u organización trata o prevé tratar datos biométricos, debes asegurarte de que cumples con todos los preceptos de la ley de protección de datos y que lo haces de manera adecuada, para no incurrir en posibles infracciones y ser sancionado por ello.

Grupo Atico34 puede ayudarte a cumplir con todas las obligaciones exigidas por el RGPD para el tratamiento de datos biométricos. Somos una consultora con más de 12 años de experiencia ofreciendo servicios de protección de datos en empresas de todos los tamaños y sectores. Contamos con un equipo de abogados y asesores cualificados y especializados en el cumplimiento de las normativas de protección de datos. Estamos siempre a la vanguardia y por eso estamos al tanto de cómo adaptar las nuevas soluciones tecnológicas y digitales a la ley de protección de datos.

Para darse de alta en protección de datos con nuestro servicio, solo tienes que ponerte en contacto con nosotros. Te guiaremos en todo lo que necesites.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.