El tractament de dades biomètriques sempre comporta una dificultat afegida com és la de realitzar l’obligatòria Avaluació d’Impacte (AIPD). La identificació biomètrica implica el tractament de categories especials de dades per a les quals el Reglament requereix garanties reforçades. Les identificacions més comunes d’aquest tipus són la facial i l’empremta digital. D’aquesta última i de les conseqüències de fer-ho malament en parlem en aquest post.
I és que l’AEPD acaba de sancionar a una empresa per implantar indegudament un registre de jornada laboral mitjançant l’empremta digital. En la resolució s’imputa a la reclamada que, al tractar-se de dades de categoria especial i existint l’obligació de fer una Avaluació d’Impacte, va incomplir l’article 35 RGPD. Aquest article diu que quan sigui probable que el tractament, en especial si es fan servir noves tecnologies, pot comportar un alt risc per els drets i llibertats de les persones físiques, el responsable realitzarà, abans del tractament, una Avaluació d’Impacte de les operacions de tractament en la protecció de dades personals.
En la Resolució, l’AEPD considera que l’empresa tractava dades de categoria especial, dades biomètriques, però l’empresa insisteix en que la tecnologia emprada és la de verificació / autenticació biomètrica que no entra en la categoria especial de dades i, en conseqüència, no exigiria la realització d’AIPD. Les dades d’identificació biomètrica que permeten identificar de manera unívoca a una persona física serien les que obligarien a realitzar l’Avaluació, com és el cas que ens ocupa.
També senyala la Resolució que existeixen mitjans menys intrusius per mantenir aquest tipus de registres i que la tecnologia emprada no superava el necessari judici de proporcionalitat que es tenia que haver fet i que hi ha sistemes alternatius com, per exemple, targetes identificatives.
Des del punt de vista laboral, l’Agència considera que les empreses no haurien d’emparar-se en el consentiment com base legitimadora del tractament, tret que es tracti de casos excepcionals. I això perquè no es parteix d’una posició d’equilibri entre les parts perquè en la relació laboral hi ha una relació de subordinació. El consentiment només pot ser vàlid si l’interessat pot realment triar i no existeix un element de compulsió, pressió o incapacitat per exercir la lliure voluntat. A més, ha de ser possible retirar-lo en qualsevol moment, sense cost ni desavantatge per l’interessat, i s’han d’oferir alternatives. Per últim, els interessats tenen dret a la supressió de les dades quan el consentiment s’ha retirat.
Com a conclusió, val dir que la tecnologia de reconeixement biomètric és molt invasiva, que cal distingir entre identificació biomètrica (requereix AIPD) i autenticació biomètrica, menys intrusiva, i que hi ha sistemes més proporcionats per portar el control de la jornada horària dels treballadors. I tenir tot això en compte perquè la multa ha estat de 20.000€.
Com sempre, cuideu-vos!