Nueva Guía de la AEPD: Uso de datos biométricos para el control de presencia y acceso

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la Guía para los tratamientos de control de presencia mediante sistemas biométricos, documento que fija el criterio de la Agencia para el uso de esta tipología de datos. Desarrollando y ampliando el criterio ya fijado en la Guía para las relaciones laborales publicada ya en el año 2021, esta nueva guía pretende dotar a los responsables de las herramientas necesarias para conservar la intimidad de los trabajadores durante el tratamiento de sus datos biométricos.

¿Qué es un dato biométrico?

El RGPD define el dato biométrico como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópico”, por lo que se considera dato biométrico la huella digital, la lectura del iris o el reconocimiento facial, entre otros.

¿Qué es una plantilla biométrica?

Como señala la AEPD, la plantilla biométrica es una forma de escritura de una característica biométrica humana, como un rostro o una huella dactilar, de manera que sea interpretable por una máquina de forma eficiente y eficaz para un propósito o propósitos determinados.

¿Cuáles son las principales novedades?

La principal novedad de la guía es que será necesario realizar una evaluación de impacto en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.

La AEPD facilita un listado de medidas técnicas y organizativas que deben llevarse a cabo para una correcta implementación del tratamiento:

• Informar a los trabajadores del tratamiento biométrico pretendido y de los riesgos asociados.
• Ofrecer la posibilidad de revocar el vínculo entre la persona y la plantilla biométrica.
• Implementar medidas que imposibiliten el uso de las plantillas biométricas con otras finalidades.
• Cifrar los datos biométricos para proteger la confidencialidad de la plantilla biométrica.
• Utilizar tecnologías que impidan la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
• La supresión de los datos cuando ya no sean necesarios para alcanzar la finalidad perseguida.
• Implementar la protección de datos desde el diseño.
• Minimizar los datos biométricos recogidos.

En conclusión, la evaluación de impacto para el tratamiento de datos biométricos en el ámbito laboral conlleva un trabajo de análisis, estudio y conclusiones muy costoso y que en la gran mayoría de los casos no supera los criterios de la AEPD para su implantación. Por tanto, nuestra recomendación es optar por un sistema de control de presencia menos invasivo para la privacidad del trabajador, como el uso de tarjetas o códigos para no caer en posibles incumplimientos de la normativa que comporten sanciones económicas.