Interviews/Opinions Info Interviews/Opinions

Tras la publicación de la guía AEPD

Conclusiones básicas sobre el tratamiento de datos biométricos en el control de registro laboral y en el control de acceso

Jorge Salgueiro-Rodríguez, presidente de Aecra26/03/2024
823
Son grandes las dudas que tras la publicación de la AEDP de su guía sobre datos biométricos se han suscitado de forma principal en relación en el control del registro de jornada cuando pretendan usarse datos tales como la huella dactilar, reconocimiento fácil en dichas operaciones por el empresario.
Imagen
Tal y como desarrolla la AEPD en su guía ya meritada, a través de este breve articulo introductorio, pretendo poner encima de la mesa determinados cuestiones muy importantes a la hora de comprender la especial protección otorgada a los datos biométricos por nuestra normativa europea de protección de datos, si bien concurre una clara necesidad ante los avances tecnológicos existentes, de hacer conciliar el ejercicio de todos los derechos fundamentales en juego, sin que ello implique la preeminencia de la privacidad sobre otros derechos, cuando existen en diferentes países de la Unión Europea competencias exclusivas que no han sido transferidas a la UE que determinan regulaciones o tratamientos específicos en lo que respecta a los datos biométricos de forma presente o futura en cada Estado.

Primero. Debe tenerse o concretarse de forma clara qué es un dato biométrico. Dicha definición viene contemplada en el RGPD, si bien son los fabricantes quien deben certificar si se están utilizando técnicas biométricas, para que tenga que aplicarse de inicio la prohibición general del artículo 9,1 del RGPD sobre el uso de datos especiales tales como los datos biométricos, genéticos, políticos, convicciones religiosas, datos relativos a la salud, vida u orientación sexual. De hecho el propio articulo 9 del RGPD se titula “Tratamientos de categorías especiales de datos personales”.

El  Considerando 51 del RGPD no considera datos biométricos las fotografías, al señalar que “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación univocas de una persona física”.

Imagen

Segundo. Que exista dicha prohibición general ab initio en el articulo 9.1 del RGPD, no quiere decir que no puedan tratarse los datos biométricos. Así el propio Considerando 52 del RGPD establece de forma literal:

 "Asimismo, deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el derecho de la Unión o de los estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluyendo las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud.. o… con fines de archivo en interés público, finalidades de investigación científica e histórica o finalidades estadísticas. Debe autorizarse también a título excepcional el tratamiento de estos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial".

Tercero. Cualquier operación de tratamiento de datos biométricos, como datos especiales, implica antes de la adopción o implantación de medidas para su uso, la práctica por el Responsable del tratamiento de dichos datos de un Informe previo de Evaluación de Impacto para valorar si cumple o supera el juicio de proporcionalidad su adopción.

Cuarto. Con el mero valor de opinión o criterio interpretativo sin carácter vinculante debo considerar la afirmación vertida en la Guía de la AEPD respecto a la falta de base jurídica del articulo 6.1 letra a) de la RGPD en relación con el articulo 9.2 letra a) del RGPD del control horario y registro laboral, para no amparar la licitud del tratamiento de datos biométricos en el ámbito laboral por razón del consentimiento condicionado en el ámbito laboral. Sin duda alguna que el consentimiento del trabajador cuando firma su contrato laboral está siempre limitado por razón de la potestad de organización del empresario, y ello de conformidad con el articulo 20.1 y 3 del ET. Nuestros Juzgados y Tribunales reconocen que el consentimiento prestado por el trabajador en su contrato laboral siempre se haya condicionado y no es libre, y por supuesto el trabajador se encuentra siempre en posición de desigualdad frente al Empresario, sin que por ello se ponga en duda la licitud y perfeccionamiento de dichos contratos por la autoridad laboral.

Imagen

Dicha interpretación emitida por AEPD será matizada por los Juzgados y Tribunales del orden social en el territorio español.

La propia Autoridad de control de protección de Datos del Reino Unido respecto del consentimiento del trabajador consideró recientemente, que si se proporciona un método alternativo para aquellos que deseen optar por no usar datos biométricos, y los trabajadores no están en desventaja con dicha decisión, el consentimiento es la base legal más probable para aplicar al uso de datos biométricos para el control de acceso.

Quinto. En relación al uso en el control de acceso y presencia de datos biométricos, destacar que el consentimiento sigue siendo libre para la persona que de forma expresa así quiera otorgarlo frente al Responsable del tratamiento de dichos datos especiales.

Sexto. Todo la afirmado en el apartado anterior supone que una vez superado el juicio de proporcionalidad del Informe de Evaluación de Impacto, y concurrir las excepciones que levantan la prohibición del articulo 9.2 letra b) y g) del RGPD, coincidiendo con los criterios descritos en la Guia de la AEPD, el responsable del tratamiento debe adoptar especiales medidas de seguridad a través de un Plan de Seguridad, para proteger dichos datos biométricos como datos especiales, que sin duda alguna vienen contemplados tanto en la ISO 27001 como en el ENS, tales como:

  • Utilizar cifrado para proteger la plantilla biométrica.
  • Implementar en el sistema la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física o implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
  • Imposibilitar la interconexión de bases de datos biométricos y la divulgación de datos.

Comments on article / news piece

#1 - Antonio Garcia
27/03/2024 13:28:28
Cómo siempre Jorge Salguero hace un análisis muy certero sobre la cuestión planteada. Siempre acertado y profesional

New comment

Login | Register 

Warning

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Password

Select all

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

I authorize the sending of communications from third parties via interempresas.net

He leído y acepto el Legal notice y la Data protection policy

Responsable: Interempresas Media, S.L.U. Purpose: Subscription to our newsletter(s). User account management. Sending emails related to the same or related to similar or associated interests.Retention: for the duration of the relationship with you, or as long as necessary to carry out the specified purposesTransfer: Data may be transferred to other group companies for internal management purposes.Rights: Access, rectification, opposition, deletion, portability, limitation of processing and automated decisions: contact our DPD. If you consider that the processing does not comply with the regulations in force, you may lodge a complaint with the AEPD.More information: Data protection policy