La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía sobre tratamientos de control de presencia mediante sistemas biométricos para el control de presencia y acceso a los puestos de trabajo. La Guía representa todo un reto para la adopción de sistemas de identificación biométrica, ya que la AEPD ha revisado sus criterios y aclarado los requisitos esenciales para el tratamiento de datos. Y no pone nada fácil.
Según el Reglamento General de Protección de Datos (RGPD), los datos biométricos se consideran una categoría especial de datos cuando se utilizan para identificar de manera única a una persona. La AEPD ha aclarado que estos datos solo se pueden procesar en circunstancias excepcionales, como con el consentimiento explícito de la persona o si es necesario para el cumplimiento de las leyes laborales o los derechos de protección social y hay una base legal para hacerlo.
La Guía indica que las disposiciones legales anteriores que se pensaba que legitimaban estos sistemas biométricos son insuficientes, ya que no mencionan expresamente el procesamiento de datos biométricos ni proporcionan las protecciones de privacidad necesarias para los empleados. Además, el consentimiento de los empleados tampoco se considera una base válida para la legitimación debido al desequilibrio de poder inherente entre empresarios y empleados.
La conclusión es que se convierte en extremadamente difícil, si no imposible, utilizar sistemas de identificación biométrica para estos propósitos en las empresas, sin una regulación específica europea o española o un acuerdo de negociación colectiva que proporcione normas claras y garantías.
Como alternativas a los controles biométricos, las soluciones podrían incluir métodos tradicionales como hojas de firma manuales, tarjetas clave electrónicas, códigos PIN o aplicaciones móviles que permiten registros basados en la ubicación. Estas alternativas se prevén menos invasivas para la privacidad, se alinean con el principio de minimización de datos del RGPD y aún cumplir con los requisitos operacionales del puesto de trabajo.
El impacto para las empresas de los nuevos criterios de la AEPD al reconocer la biometría como falta de legitimación para el tratamiento de datos es significativo. Las empresas deberán reconsiderar el uso de sistemas de control biométrico, ya que la Guía limita fuertemente estas prácticas. Sin una base legal específica, consentimiento explícito (muy complicado de utilizar en la práctica para el desequilibrio entre empresa y trabajador y tener que superar el juicio de idoneidad) o acuerdos colectivos con garantías adecuadas, las empresas no podrán utilizar datos biométricos para controles de presencia o acceso.
Todo ello puede requerir cambios operativos significativos y, como decíamos, la implementación de métodos alternativos de control de presencia que respeten la privacidad y la protección de datos de los empleados. La Agencia, incluso, recomienda explorar opciones que ni sean tecnológicas como, por ejemplo, la utilización de recursos humanos. Vaya, poner un vigilante en la puerta, como se ha hecho toda la vida. En fin …
De ahora en adelante, no pongáis el dedo en ningún sitio y ¡cuidaos!
