Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Ley de Protección de Datos y huella dactilar

La huella dactilar es un dato personal, además de ser un dato biométrico, por lo que para su tratamiento es necesario cumplir con las obligaciones establecidas en la normativa de protección de datos. En este artículo revisamos los aspectos clave sobre la huella dactilar y protección de datos recogidos en la guía publicada por la AEPD al respecto del uso de datos biométricos.

Guía AEPD para regular el uso de la huella dactilar en las empresas

A finales de 2023, la AEPD publicó una guía sobre el tratamiento de control de presencia mediante sistemas biométricos, en la que se fijan los criterios para la utilización de los datos biométricos para el control de acceso, tanto en el ámbito laboral como fuera de este. Estos criterios, en resumen, prohíben el uso de datos biométricos, como la huella dactilar, como identificador de acceso.

La AEPD considera la identificación y la autenticación biométrica como un tratamiento de alto riesgo que incluye categorías especiales de datos, por lo que según el RGPD, es necesario que existan una circunstancia que levante la prohibición de su tratamiento y una condición que lo legitime.

Dado que la huella dactilar es un dato biométrico y, por tanto, un dato especialmente protegido, solo podría ser legal fichar con la huella dactilar si existiese una norma con rango de ley que lo autorizase, de manera que el levantamiento de la prohibición podría basarse en el artículo 9.2.b) del RGPD. Sin embargo, actualmente en España no existe una norma así (ya que en el Estatuto de los Trabajadores no se contempla el fichaje biométrico explícitamente).

tarifas proteccion datos

A falta de una ley sobre datos biométricos y un desarrollo más concreto del uso de la huella dactilar en el RGPD (o cualquier otro dato biométrico), la guía de la AEPD sobre el tratamiento de control de presencia mediante sistemas biométricos incluye las directrices que regulan el uso de la huella dactilar en las empresas:

  • Base legitimadora: En la práctica no se puede usar la huella dactilar para el control de accesos y el registro de la jornada laboral, ya que el consentimiento expreso sería necesario, sin embargo, al tratarse del ámbito laboral, donde la relación entre empleador y empleados está desequilibrada, el consentimiento no se considera libre y voluntario. Tampoco se puede basar el tratamiento en las excepciones del artículo 9.2 del RGPD, porque existen métodos menos invasivos para poder alcanzar la misma finalidad (por ejemplo, el uso de tarjetas o apps). Cabe señalar que en el caso del control de accesos, si se justifica debidamente la necesidad de usar la huella dactilar por razones de seguridad (superando el juicio de necesidad, idoneidad y proporcionalidad), podría llegar a admitirse, siempre y cuando se cumpla también con el resto de obligaciones de protección de datos.
  • Deber de información: Si, se superan todos los requisitos para usar la huella dactilar en el control de acceso, como responsables del tratamiento tenemos que cumplir con el deber de información en los términos que establece el artículo 13 del RGPD. Es decir, debemos informar a los interesados (nuestros empleados) del uso de este sistema y de:
    • La identidad y datos de contacto del responsable del tratamiento, y en su caso, del encargado del tratamiento y del Delegado de Protección de Datos (DPO).
    • La finalidad del tratamiento (registro horario, por ejemplo).
    • Base legitimadora del tratamiento (en los términos que vimos en el punto anterior).
    • Si los hay, destinatarios de los datos personales.
    • El plazo de conservación.
    • La vía para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
    • El derecho a reclamar ante la AEPD.
  • Evaluación de impacto: Al ser un tratamiento de datos de categorías especiales, con carácter previo a su adopción, será necesario llevar a cabo una evaluación de impacto del tratamiento, para poder determinar el riesgo que puede entrañar el uso de la huella dactilar como medio identificativo para los derechos y libertades de los interesados.
  • Medidas de seguridad: A partir de las conclusiones del informe de la evaluación de impacto, el responsable del tratamiento deberá implementar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos 
  • Otros requisitos: Aparte de las obligaciones de la normativa de protección de datos respecto a la huella dactilar y su uso en sistema de identificación biométrica, también es necesario cumplir con estos otros requisitos:
    • Respetar los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.
    • Los datos biométricos deberán guardarse como plantillas biométricas y usarse solo de forma específica para el sistema biométrico aplicado, no pudiendo usarse por otros responsables del tratamiento de sistemas similares.
    • Asegurar que los datos biométricos solo se utilizan con la finalidad para la que fueron recabados y de la que se informó a los interesados y que no serán reutilizados con otros fines.
    • Recurrir a mecanismos de cifrado para evitar la lectura, copia, modificación o supresión no autorizados.
    • Idealmente, estos datos deberían poder anonimizarse.
    • Emplear formatos de datos o tecnologías que impidan la interconexión de bases de datos biométricos y la difusión de datos no comprobada.
    • Supresión de los datos biométricos que no sean necesarios para cumplir con la finalidad prevista. En la medida de lo posible, se recomienda implementar mecanismos de supresión automatizados. 

¿Es legal uso la huella dactilar en la empresa?

De lo expuesto en el punto anterior, se desprende que no es legal pedir la huella dactilar en la empresa para realizar el control de presencia o control horario, ya que existen medios alternativos menos intrusivos, que pueden usarse en vez de requerir un dato biométrico.

La única excepción podría ser, cómo hemos dicho más arriba, emplear la huella dactilar en el control de accesos en instalaciones consideradas críticas o que en las que se requiere una mayor seguridad, si bien la medida debe quedar debidamente justificada y superar el triple juicio de idoneidad, necesidad y proporcionalidad.

En la práctica y con el criterio actual para el uso de datos biométricos, el uso de la huella dactilar para el control de presencia queda prácticamente descartado y, por lo tanto, requerir a los empleados que fiche mediante huella dactilar se puede considerar una infracción de la normativa de protección de datos.

Resolución por la que se sanciona el requerimiento de la huella dactilar en el fichaje laboral

En lo que respecta a sanciones en protección de datos y huella dactilar, la AEPD todavía no ha dictado ninguna resolución por la que se sancione el requerimiento de la huella dactilar en el fichaje laboral bajo los criterios actuales, aunque sí ha impuesto sanciones por razones relacionadas con el uso de sistemas de fichaje biométrico; por ejemplo, una empresa fue sancionada con 20.000 euros por usar lectores de huella dactilar para llevar a cabo el registro horario y el control de acceso de los empleados sin haber realizado antes la correspondiente evaluación de impacto.

Fuera del ámbito laboral, sí encontramos ya una resolución sancionadora por requerir la huella dactilar como identificador de acceso (PS/00413/2022); en concreto, sanción a un gimnasio con 27.000 euros por exigir el uso de la huella dactilar como única vía de identificación para acceder sus instalaciones. Puesto que no se daba otra alternativa para la identificación y el acceso, el consentimiento no se entiende como válido en este caso.

Por lo tanto, es muy posible que las empresas que actualmente están empleando sistemas de control de acceso y fichaje mediante huella dactilar sean apercibidas e incluso sancionadas, si no dejan de utilizar este medio y pasan a una forma alternativa para ello, menos intrusiva para la privacidad de sus empleados.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.