El tratamiento de la huella digital del empleado en la relación laboral
En los últimos años se han popularizado determinados sistemas destinados al control de accesos en las instalaciones y al registro de la jornada laboral, basados en la lectura de la huella digital de los empleados. Si bien estos sistemas tienen muchas ventajas (suelen ser económicos, fáciles de mantener y permiten identificar de forma inequívoca a los empleados), entran en conflicto con la normativa de protección de datos, ya que el Reglamento General de Protección de Datos (RGPD) limita el tratamiento de los datos biométricos dirigidos a identificar de manera unívoca a una persona.
¿Identificación o autenticación?
El RGPD define el dato biométrico como aquellos datos “relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona”.
Por su parte, la Agencia Española de Protección de Datos (AEPD) distingue dos supuestos de identificación biométrica: la identificación y la verificación. Si bien la identificación es el proceso de reconocer a una persona entre un grupo (uno a varios), la verificación consiste en probar si es cierta la identidad de un individuo, comparando sus datos con los asociados a la persona que dice ser (uno a uno). Es decir, en el primer supuesto se compara la huella de un empleado con las de todos los trabajadores, mientras que, en el segundo supuesto, se compara la huella del trabajador con su huella conservada por la empresa, con la finalidad de verificar su identidad.
En caso de que se traten datos biométricos, la AEPD recomienda optar por sistemas de verificación, aconsejando que los datos de la huella del trabajador sean almacenados en soportes conservados exclusivamente por este (por ejemplo, tarjetas inteligentes o dispositivos similares).
Cuando realizar una evaluación de impacto
Como hemos afirmado al inicio de este artículo, el tratamiento de datos biométricos está limitado por el RGPD, por lo que si se opta por un sistema de identificación biométrica será necesario llevar a cabo una evaluación de impacto, con la finalidad de determinar el nivel de riesgo del tratamiento de cara a implementar las medidas y garantías que resulten adecuadas. A través de esta evaluación, se podrán identificar los factores de riesgo asociados al tratamiento de los datos biométricos de los trabajadores, para así proceder a disminuir el nivel de riesgo a un valor aceptable, aplicando las medidas y garantías que sean necesarias.
Por todo lo anterior, en el momento de escoger el sistema de control a través de la huella digital será necesario que se valore el coste de realizar una evaluación de impacto o, en su caso, escoger únicamente proveedores que ya hayan realizado esta evaluación sobre su producto.
Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.