Opinión Info Opinión

Tras la publicación de la guía AEPD

Conclusiones básicas sobre el tratamiento de datos biométricos en el control de registro laboral y en el control de acceso

Jorge Salgueiro-Rodríguez, presidente de Aecra26/03/2024
737
Son grandes las dudas que tras la publicación de la AEDP de su guía sobre datos biométricos se han suscitado de forma principal en relación en el control del registro de jornada cuando pretendan usarse datos tales como la huella dactilar, reconocimiento fácil en dichas operaciones por el empresario.
Imagen
Tal y como desarrolla la AEPD en su guía ya meritada, a través de este breve articulo introductorio, pretendo poner encima de la mesa determinados cuestiones muy importantes a la hora de comprender la especial protección otorgada a los datos biométricos por nuestra normativa europea de protección de datos, si bien concurre una clara necesidad ante los avances tecnológicos existentes, de hacer conciliar el ejercicio de todos los derechos fundamentales en juego, sin que ello implique la preeminencia de la privacidad sobre otros derechos, cuando existen en diferentes países de la Unión Europea competencias exclusivas que no han sido transferidas a la UE que determinan regulaciones o tratamientos específicos en lo que respecta a los datos biométricos de forma presente o futura en cada Estado.

Primero. Debe tenerse o concretarse de forma clara qué es un dato biométrico. Dicha definición viene contemplada en el RGPD, si bien son los fabricantes quien deben certificar si se están utilizando técnicas biométricas, para que tenga que aplicarse de inicio la prohibición general del artículo 9,1 del RGPD sobre el uso de datos especiales tales como los datos biométricos, genéticos, políticos, convicciones religiosas, datos relativos a la salud, vida u orientación sexual. De hecho el propio articulo 9 del RGPD se titula “Tratamientos de categorías especiales de datos personales”.

El  Considerando 51 del RGPD no considera datos biométricos las fotografías, al señalar que “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación univocas de una persona física”.

Imagen

Segundo. Que exista dicha prohibición general ab initio en el articulo 9.1 del RGPD, no quiere decir que no puedan tratarse los datos biométricos. Así el propio Considerando 52 del RGPD establece de forma literal:

 "Asimismo, deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el derecho de la Unión o de los estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluyendo las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud.. o… con fines de archivo en interés público, finalidades de investigación científica e histórica o finalidades estadísticas. Debe autorizarse también a título excepcional el tratamiento de estos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial".

Tercero. Cualquier operación de tratamiento de datos biométricos, como datos especiales, implica antes de la adopción o implantación de medidas para su uso, la práctica por el Responsable del tratamiento de dichos datos de un Informe previo de Evaluación de Impacto para valorar si cumple o supera el juicio de proporcionalidad su adopción.

Cuarto. Con el mero valor de opinión o criterio interpretativo sin carácter vinculante debo considerar la afirmación vertida en la Guía de la AEPD respecto a la falta de base jurídica del articulo 6.1 letra a) de la RGPD en relación con el articulo 9.2 letra a) del RGPD del control horario y registro laboral, para no amparar la licitud del tratamiento de datos biométricos en el ámbito laboral por razón del consentimiento condicionado en el ámbito laboral. Sin duda alguna que el consentimiento del trabajador cuando firma su contrato laboral está siempre limitado por razón de la potestad de organización del empresario, y ello de conformidad con el articulo 20.1 y 3 del ET. Nuestros Juzgados y Tribunales reconocen que el consentimiento prestado por el trabajador en su contrato laboral siempre se haya condicionado y no es libre, y por supuesto el trabajador se encuentra siempre en posición de desigualdad frente al Empresario, sin que por ello se ponga en duda la licitud y perfeccionamiento de dichos contratos por la autoridad laboral.

Imagen

Dicha interpretación emitida por AEPD será matizada por los Juzgados y Tribunales del orden social en el territorio español.

La propia Autoridad de control de protección de Datos del Reino Unido respecto del consentimiento del trabajador consideró recientemente, que si se proporciona un método alternativo para aquellos que deseen optar por no usar datos biométricos, y los trabajadores no están en desventaja con dicha decisión, el consentimiento es la base legal más probable para aplicar al uso de datos biométricos para el control de acceso.

Quinto. En relación al uso en el control de acceso y presencia de datos biométricos, destacar que el consentimiento sigue siendo libre para la persona que de forma expresa así quiera otorgarlo frente al Responsable del tratamiento de dichos datos especiales.

Sexto. Todo la afirmado en el apartado anterior supone que una vez superado el juicio de proporcionalidad del Informe de Evaluación de Impacto, y concurrir las excepciones que levantan la prohibición del articulo 9.2 letra b) y g) del RGPD, coincidiendo con los criterios descritos en la Guia de la AEPD, el responsable del tratamiento debe adoptar especiales medidas de seguridad a través de un Plan de Seguridad, para proteger dichos datos biométricos como datos especiales, que sin duda alguna vienen contemplados tanto en la ISO 27001 como en el ENS, tales como:

  • Utilizar cifrado para proteger la plantilla biométrica.
  • Implementar en el sistema la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física o implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
  • Imposibilitar la interconexión de bases de datos biométricos y la divulgación de datos.

Empresas o entidades relacionadas

Asociación Europea de Profesionales para Conocimiento y Regulación de Actividades de Seguridad Ciudadana
Ver stand virtual

Comentarios al artículo/noticia

#1 - Antonio Garcia
27/03/2024 13:28:28
Cómo siempre Jorge Salguero hace un análisis muy certero sobre la cuestión planteada. Siempre acertado y profesional

Nuevo comentario

Identificarse | Registrarse 

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos