La huella dactilar es un dato personal, pero ¿de qué tipo? ¿Qué obligaciones de la normativa de protección de datos implica el uso de la huella dactilar como método identificativo en el control de acceso o del control horario? En este artículo revisamos todo lo relacionado con la huella dactilar y la protección de datos.
En este artículo hablamos de:
¿Qué tipo de dato es la huella dactilar?
La huella dactilar es un dato biométrico, además, cuando la huella dactilar es empleada como método de identificación biométrica (tal y como recoge el artículo 9.1 del RGPD), se considera un dato de categorías especiales, lo que implica que para poder llevar a cabo su tratamiento, es necesario bien contar con el consentimiento expreso de los interesados, o bien, que concurra alguna de las bases legitimadoras del artículo 9.2 del RGPD.
Cuando hablamos de datos biométricos y protección de datos, y de acuerdo a la AEPD, debemos distinguir entre identificación biométrica y autenticación biométrica, puesto que según el RGPD y la LOPDGDD, no todos los datos biométricos se consideran categorías de datos especiales.
Así, solo la identificación biométrica se considera dato biométrico de categorías especiales. Esta consiste en la identificación de una persona por un sistema biométrico en el que se comparan los datos biométricos con una serie de plantillas biométricas guardadas en una base de datos, siendo un proceso de búsqueda de correspondencia uno-a-varios (a diferencia de la autenticación, que es un proceso de búsqueda de correspondencia uno-a-uno).
Por lo tanto, si vamos a emplear la huella dactilar en un sistema de identificación biométrica, independientemente de cuál sea la finalidad (control de acceso, control horario de la jornada laboral, etc.), deberemos cumplir con una serie de obligaciones, que detallamos en el siguiente punto.
¿Qué dice la normativa de protección de datos sobre el uso de la huella dactilar?
Al usar la huella dactilar como medio identificativos o de registro, aparte de incluirlo en el registro de actividades de tratamiento, deberemos cumplir con las siguientes obligaciones:
- Base legitimadora:
Cuando el consentimiento no sea la base legitimadora para el uso de la huella dactilar, será necesario que concurra alguna de las excepciones tanto del artículo 6.1 como del 9.2 del RGPD.
Como en la mayoría de los casos que han suscitado las dudas, consultas y reclamaciones ante la AEPD, han sido relativos al uso de la huella dactilar como método para el control de acceso o el control horario, es decir, para fichar en el trabajo, la base legitimadora para este tratamiento de datos la encontramos en:
-
- Artículo 6.1.b), «el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte». En este caso, el cumplimiento de las relaciones contractuales de carácter laboral.
- Artículo 9.2.b), «el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social con arreglo al Derecho de los Estados miembros». En este caso, amparado en el artículo 20.3 del Estatuto de los Trabajadores, que permite al empresario adoptar medidas de vigilancia y control para comprobar el cumplimiento de las obligaciones laborales de los empleados.
Al concurrir estos dos supuestos, no será necesario recabar el consentimiento de los interesados para el uso de sistemas de identificación biométrica basados en la huella dactilar.
- Deber de información:
Si se va a emplear un método de identificación biométrica, por ejemplo, para fichar en el trabajo, como responsables del tratamiento tenemos que cumplir con el deber de información en los términos que establece el artículo 13 del RGPD. Es decir, debemos informar a los interesados (nuestros empleados) del uso de este sistema y de:
-
- La identidad y datos de contacto del responsable del tratamiento, y en su caso, del encargado del tratamiento y del Delegado de Protección de Datos (DPO).
- La finalidad del tratamiento (registro horario, por ejemplo).
- Base legitimadora del tratamiento (en los términos que vimos en el punto anterior).
- Si los hay, destinatarios de los datos personales.
- El plazo de conservación.
- La vía para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
- El derecho a reclamar ante la AEPD.
- Evaluación de impacto:
Al ser un tratamiento de datos de categorías especiales, con carácter previo a su adopción, será necesario llevar a cabo una evaluación de impacto del tratamiento, para poder determinar el riesgo que puede entrañar el uso de la huella dactilar como medio identificativo para los derechos y libertades de los interesados.
- Medidas de seguridad:
A partir de las conclusiones del informe de la evaluación de impacto, el responsable del tratamiento deberá implementar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos
- Otros requisitos:
Aparte de las obligaciones de la normativa de protección de datos respecto a la huella dactilar y su uso en sistema de identificación biométrica, también es necesario cumplir con estos otros requisitos:
- Respetar los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.
- Los datos biométricos deberán guardarse como plantillas biométricas y usarse solo de forma específica para el sistema biométrico aplicado, no pudiendo usarse por otros responsables del tratamiento de sistemas similares.
- Asegurar que los datos biométricos solo se utilizan con la finalidad para la que fueron recabados y de la que se informó a los interesados y que no serán reutilizados con otros fines.
- Recurrir a mecanismos de cifrado para evitar la lectura, copia, modificación o supresión no autorizados.
- Idealmente, estos datos deberían poder anonimizarse.
- Emplear formatos de datos o tecnologías que impidan la interconexión de bases de datos biométricos y la difusión de datos no comprobada.
- Supresión de los datos biométricos que no sean necesarios para cumplir con la finalidad prevista. En la medida de lo posible, se recomienda implementar mecanismos de supresión automatizados.
Sanciones por vulneración de protección de datos en el uso de la huella dactilar
No cumplir con las obligaciones en materia de protección de datos respecto al uso de la huella dactilar puede ser motivo de sanción. La cuantía de dicha sanción dependerá de la infracción cometida y de su gravedad.
Por ejemplo, una empresa que comenzó a usar lectores de huella dactilar para llevar a cabo el registro horario y el control de la jornada laboral de sus empleados, fue sancionada con 20.000 euros por la AEPD por no haber realizado la correspondiente evaluación de impacto antes de la implementación del sistema.
Otro ejemplo, aunque en este caso hablamos de apercibimiento, al tratarse de un ayuntamiento, la AEPD lo sancionaba por no haber cumplido con el artículo 13 del RGPD, al no informar sobre el uso de un sistema de control horario por huella dactilar.
Conclusión ¿Según la normativa de protección de datos, es legal el uso de la huella dactilar?
Siempre que se cumplan las obligaciones establecidas por el RGPD y la LOPDGDD para el uso de datos biométricos, será legal usar la huella dactilar como método de identificación (ya sea para fichar o para el control de acceso).
Ahora bien, cabe señalar que antes de recurrir al empleo de la huella dactilar, o cualquier otro dato biométrico, como método para el control horario o el control de accesos o cualquier otro uso que emplee esta forma de identificación, se debería valorar si es posible emplear otros sistemas menos intrusivos en la privacidad de los interesados, pero igualmente válidos y eficaces (como pueden ser, por ejemplo, tarjetas personales para el control de accesos).