La AEPD establece nuevos criterios para el uso de datos Biométricos en el Ámbito Laboral

La Agencia Española de Protección de Datos (AEPD) ha respondido a los desafíos planteados por los sistemas biométricos al publicar recientemente la «Guía Tratamientos de control de presencia mediante sistemas biométricos». Este documento se erige como un faro en el mar cambiante de la tecnología, estableciendo criterios cruciales para el tratamiento de datos biométricos en el control de presencia, todo ello bajo el marco del  Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

La rápida evolución de los sistemas biométricos ha transformado la manera en que capturamos, almacenamos y utilizamos datos personales. Con la capacidad de recoger información sin la cooperación consciente de las personas, estos sistemas han adquirido un nivel de detalle que plantea cuestionamientos éticos y legales. La inteligencia artificial, intrínsecamente ligada a estos avances, no solo amplía la cantidad de información capturada, sino que también permite la inferencia de datos sensibles, marcando así una nueva era en el tratamiento de la información biométrica.

Este artículo explicaremos los elementos esenciales delineados por la AEPD en su guía reciente, los  criterios establecidos para el tratamiento de datos biométricos en el control de presencia y acceso, arrojando luz sobre los desafíos y responsabilidades que surgen tanto en torno laborales, como en materia de proteccion de datos. Por tanto, la AEPD en el contexto del tratamiento de control de presencia mediante técnicas biométricas, destaca varios aspectos esenciales para los responsables del tratamiento.

En primer lugar, se enfatiza que el uso de tecnologías biométricas para la identificación y autenticación en el control de presencia conlleva un tratamiento de alto riesgo, que involucra categorías especiales de datos.

Al implementar el tratamiento de control de presencia, se requiere la observancia de los principios de minimización y protección de datos desde el diseño. Esto implica utilizar medidas alternativas que sean menos intrusivas y tratar la menor cantidad posible de datos adicionales. Es crucial tener en cuenta que levantar la prohibición de tratar categorías especiales de datos debe estar respaldado por una circunstancia y una condición que legitime dicho tratamiento.

En el ámbito laboral, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, se exige contar con una norma legal específica que concrete la posibilidad de utilizar datos biométricos para fines laborales. Es importante señalar que el consentimiento no puede ser la base para la licitud del tratamiento, dada la situación de desequilibrio entre el interesado y el responsable del tratamiento.

En situaciones fuera del ámbito laboral, ni la ejecución de un contrato ni el consentimiento son circunstancias que levanten la prohibición, ya que se considera un tratamiento de alto riesgo. Este tratamiento debería superar el requisito de necesidad establecido para garantizar su legalidad.

Cualquier uso de datos biométricos con fines adicionales al control de presencia debe tener sus propias circunstancias y condiciones de levantamiento de la prohibición y legitimación. Además, en el tratamiento de control de presencia, no se pueden tomar decisiones automatizadas sin intervención humana que afecten significativamente al individuo, a menos que cumplan con ciertos requisitos relacionados con el interés público esencial y la normativa legal.

En el caso de sistemas biométricos implementados con técnicas de inteligencia artificial, es imperativo tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial.

Previo al inicio del tratamiento, se requiere obligatoriamente una Evaluación de Impacto para la Protección de Datos. Esta evaluación debe documentar la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.

Una vez superados todos los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas, deben implementarse garantías organizativas, técnicas y jurídicas. Estas incluyen informar a los individuos, posibilidad de revocar el vínculo de identidad, cifrado, supresión de datos no vinculados a la finalidad, entre otras.

Adicionalmente, se recomiendan medidas como la utilización de tecnologías biométricas en dispositivos bajo el control exclusivo de los usuarios, la toma consciente de datos por parte del individuo y la evitación preferente del almacenamiento centralizado de plantillas biométricas. Estos principios y recomendaciones buscan minimizar los riesgos asociados con el tratamiento de datos biométricos y asegurar su uso responsable y ético.

Finalmente, se establece que todas las acciones y medidas implementadas se revisarán y actualizarán según sea necesario.