El pasado 23 de noviembre, la Agencia Española de Protección de Datos ha publicado una nueva guía sobre los tratamientos de control de presencia mediante sistemas biométricos. Si bien las guías de la AEPD no tienen la consideración de norma, sí que establecen los criterios a los que responderá su actuación en la aplicación del RGPD. Esta guía cambia el escenario, plantea nuevos límites y establece medidas necesarias para que dichos tratamientos se adecúen al RGPD.
Entre estas medidas, se ha de cumplir con los principios generales de minimización de datos y de protección de datos desde el diseño y por defecto. Lo que implica, utilizar medidas alternativas equivalentes que sean menos intrusivas y que traten los menos datos adicionales posibles.
Hasta la fecha, la AEPD distinguía entre identificación biométrica (búsqueda de correspondencia uno a varios) y verificación/autenticación biométrica (búsqueda de correspondencia uno a uno), no considerando a la segunda como una categoría especial de datos y, por tanto, no estando prohibida por el artículo 9.1 del RGPD.
Sin embargo, la AEPD ha cambiado su criterio, entendiendo ahora que, para el control de presencia, la utilización de tecnologías biométricas, tanto de identificación, como de autenticación, supone un alto riesgo que incluye, en ambos casos, tratamiento de categorías especiales de datos.
Para levantar la prohibición de tratar las categorías especiales de datos tendría que concurrir alguna de las excepciones previstas en el artículo 9.2 del RGPD. Pero advierte la AEPD que, en el tratamiento de control de presencia mediante datos biométricos, no levanta tal prohibición ni el consentimiento explícito del interesado, ni el cumplimiento de obligaciones del responsable. Tampoco podría utilizarse como justificación la ejecución de un contrato, en tanto que esta opción no está contemplada como excepción en el mencionado precepto.
Al mismo tiempo, advierte que, no se podrán tomar decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre el interesado o que le afecten significativamente de modo similar; y que, en el caso de que el sistema biométrico esté implementado con técnicas de IA, asimismo, habrá que estar a lo dispuesto en el futuro Reglamento Europeo sobre Inteligencia Artificial.
Además de cumplir con las medidas hasta ahora expuestas, previamente al inicio de este tratamiento, será necesario, en todo caso, realizar y superar una Evaluación de Impacto para la Protección de los Datos, que acredite y documente su idoneidad, necesidad y proporcionalidad.
Por último, pero no menos importante, deberán aplicarse medidas en la implementación práctica del tratamiento: informar a los interesados, posibilitar la revocación, imposibilitar el uso de los datos para otra finalidad, cifrar y proteger la confidencialidad, entre otras.
No son pocas las empresas y administraciones que ya han implementado en sus instalaciones, tanto para registrar la jornada laboral de sus empleados, como para el control de acceso (con o sin fines laborales), procedimientos de control por medio de sistemas biométricos (huella dactilar o reconocimiento facial). Ante este nuevo panorama, es más que probable que se hallen incumpliendo el RGPD e, incluso, sean susceptibles de ser sancionadas por la AEPD.
Laura Conde
Abogada
