La Agencia Española de Protección de Datos (“AEPD”) publicó, el pasado mes de noviembre de 2023 una Guía sobre tratamientos de control de presencia mediante sistemas biométricos (la “Guía”). Las orientaciones previstas en ella están generando una gran repercusión e impacto en el mundo empresarial, especialmente en aquellas compañías que venían haciendo uso de la tecnología biométrica para controlar la presencia de sus empleados. A continuación, esbozamos, a través de un esquema de preguntas y respuestas, los aspectos esenciales contenidos en la Guía:
(i) ¿Cuál es el objeto de la nueva Guía?
La Guía se centra en determinar los criterios aplicables para la utilización de la biometría con la finalidad de control de presencia; siendo los sistemas biométricos más utilizados el reconocimiento facial y la huella dactilar.
(ii) ¿A qué nos referimos cuando hablamos de control de presencia?
El control de presencia puede servir para la consecución de distintas finalidades; no obstante, la Guía dirige su atención hacia las actividades de registro de jornada y control de accesos en el ámbito laboral. Aun así, ciertas orientaciones previstas por la AEPD pueden extenderse a sistemas de control de presencia que quedan fuera del ámbito laboral.
(iii) Pero ¿realmente hay un cambio de criterio?
La AEPD ha reformulado su interpretación inicial, cuestionando tanto las habilitaciones legales - que hasta ahora se venían utilizando mayoritariamente para legitimar estos tratamientos - como la necesidad real de utilizar tecnología biométrica para controlar la presencia del trabajador. En concreto, la AEPD ha modificado su criterio en torno a:
- El proceso de autenticación (la operación de probar que es cierta la identidad reclamada por un individuo). La AEPD, contra lo que había establecido anteriormente y al objeto de alinearse con el criterio europeo, considera que esta operación conlleva un tratamiento dirigido a identificar a una persona física y, por tanto, los datos personales tratados tienen la consideración de categorías especiales de datos.
- Siendo esto así, para su tratamiento es necesario que aplique alguna de las excepciones recogidas en el RGPD para el tratamiento de este tipo de datos. Sin embargo, las dos excepciones que hasta ahora se utilizaban, de forma generalizada, para levantar la prohibición, resultan, según la AEPD, difícilmente aplicables; en concreto:
o respecto del posible uso del consentimiento explícito: la AEPD cuestiona su uso por la relación de desequilibrio existente entre el empleado y el empleador.
o respecto de la posible existencia de una obligación legal del responsable del tratamiento: la AEPD indica que no existe, en el marco jurídico español actual, una norma que contenga autorización suficientemente específica para considerar necesario el tratamiento de datos biométricos, con la finalidad de un control horario de la jornada de trabajo.
(iv) ¿Quiere decir esto que la Agencia prohíbe los sistemas de biometría para control de presencia?
La AEPD NO PROHÍBE la realización de estos tratamientos, pero sí ENDURECE los requisitos legales aplicables, haciendo MÁS COMPLEJO que estos sistemas puedan implementarse; ya que pone en entredicho la existencia de una habilitación legal para poder llevar a cabo estos tratamientos de forma generalizada.
Adicionalmente, la AEPD cuestiona la necesidad del uso de la biometría para el control de presencia; en concreto, cuestiona que no haya medidas MENOS INTRUSIVAS para llevar a esta actividad, como el uso de tarjetas.
Asimismo, considera que muchos de los dispositivos biométricos disponibles en el mercado están muy por encima de las necesidades reales empresariales y tratan, POR DEFECTO, MÁS DATOS DE LOS ESTRICTAMENTE NECESARIOS.
(v) ¿Qué requisitos legales debo cumplir para tratar datos biométricos con fines de control de presencia?
Es imprescindible cumplir con los siguientes requerimientos legales:
1. Encontrar una excepción que levante la prohibición de tratar categorías especiales de datos.
2. Contar con una base de legitimación.
3. Efectuar una evaluación de impacto, que contenga una evaluación de la necesidad y la proporcionalidad.
4. Informar al interesado.
5. Implementar medidas desde el diseño y por defecto: posibilidad de revocar el vínculo entre el dato biométrico y la persona; cifrado de plantillas biométricas, etc.
Adicionalmente, la AEPD establece las siguientes recomendaciones:
1. Utilizar dispositivos que estén bajo el control exclusivo de los empleados.
2. Recabar los datos del interesado haciéndole consciente del proceso
3. Suprimir los datos utilizando mecanismos de borrado automatizado.
(vi) Tengo implementado un sistema biométrico, ¿y ahora qué debo hacer?
Es imprescindible REEVALUAR el sistema implementado ateniendo a los nuevos criterios de la AEPD. Esta reevaluación deberá hacerse de forma meticulosa y caso por caso, analizando las necesidades específicas de cada compañía; y teniendo en cuenta, su posible sometimiento a medidas de seguridad reforzada, conforme a determinadas normativas específicas.