El control de presencia y el fichaje de los empleados son aspectos fundamentales en la gestión laboral de las empresas. En los últimos años, ha habido un aumento en la utilización de sistemas biométricos para llevar a cabo estos procesos. Sin embargo, recientemente, la Agencia Española de Protección de Datos (AEPD) ha publicado una guía que pone en tela de juicio el uso de estos sistemas, complicando su viabilidad económica y planteando serias dudas sobre su cumplimiento con el Reglamento General de Protección de Datos (RGPD).
Tabla de contenidos
Antecedentes y cambios en la interpretación
Hasta la aprobación del RGPD en 2016, el uso de sistemas biométricos para el control de acceso y fichaje de los empleados era considerado legítimo por el Tribunal Supremo. Sin embargo, la introducción de los datos biométricos como «categoría especial» en el RGPD dificultó su utilización en el ámbito laboral. A pesar de esto, la AEPD abrió la puerta a su uso al diferenciar entre «identificación» y «autenticación». Según la AEPD, los sistemas de control de acceso se limitarían a «verificar» la identidad ya establecida previamente, lo que no implicaría el uso de datos «especiales».
Sin embargo, en abril de 2023, el Comité Europeo de Protección de Datos publicó unas directrices que contradecían esta interpretación. Según estas directrices, tanto la autenticación como la identificación mediante datos biométricos son considerados tratamientos de datos personales de categorías especiales. Ante esta nueva interpretación, la AEPD se vio obligada a revisar su criterio y publicó la guía «Tratamientos de control de presencia mediante sistemas biométricos«.
Regulaciones y criterios para el uso de sistemas biométricos
La guía de la AEPD establece que el tratamiento de datos biométricos para el control de presencia mediante sistemas biométricos es considerado un tratamiento de alto riesgo que incluye categorías especiales de datos. Esto implica que su uso está prohibido, a menos que exista una circunstancia que levante dicha prohibición y una condición que lo legitime.
En el ámbito laboral, el levantamiento de la prohibición del uso de datos biométricos para el control de acceso debe estar respaldado por una norma con rango de ley que autorice específicamente su utilización. En este caso, el consentimiento de los trabajadores no puede ser utilizado como base para justificar su uso, ya que existe un desequilibrio entre la persona sometida al tratamiento y quien lo lleva a cabo.
Fuera del ámbito laboral, el consentimiento tampoco puede ser utilizado como circunstancia que levante la prohibición, ya que se trata de un tratamiento de alto riesgo y no cumple con el requisito de necesidad.
Evaluación de Impacto para la Protección de Datos y medidas de seguridad
En caso de pretender captar datos biométricos, es obligatorio realizar una Evaluación de Impacto para la Protección de Datos antes del inicio del tratamiento. Esta evaluación debe demostrar la idoneidad, necesidad y proporcionalidad del tratamiento.
La guía también establece una serie de medidas que deben ser implementadas si se superan los requisitos de cumplimiento del RGPD. Estas medidas incluyen informar a las personas sobre el tratamiento biométrico y los riesgos asociados, permitir la revocación del vínculo de identidad, utilizar cifrado para proteger la confidencialidad de los datos, utilizar tecnologías que impidan la interconexión de bases de datos biométricos, suprimir los datos biométricos cuando no sean necesarios, implementar la protección de datos desde el diseño y aplicar la minimización de los datos recogidos.
Reflexiones finales
La publicación de esta guía supone un cambio significativo en la interpretación y regulación del uso de sistemas biométricos para el control de presencia. Las empresas que utilizan estos sistemas deben evaluar cuidadosamente su cumplimiento con el RGPD y las regulaciones establecidas por la AEPD. La necesidad de modificar el marco jurídico para permitir el uso de datos biométricos en este contexto plantea un desafío para las autoridades y el sector de soluciones de control biométrico.
Es importante destacar que el incumplimiento de estas regulaciones conlleva el riesgo de sanciones por parte de la AEPD. Por lo tanto, es fundamental que las empresas se adapten a las nuevas normativas y consideren alternativas menos intrusivas para el control de presencia, como el uso de tarjetas inteligentes o certificados digitales. La protección de la privacidad y los derechos de los trabajadores deben ser prioritarios en cualquier sistema de control de presencia utilizado en el ámbito laboral.