La instalación de sistemas de control de acceso y registro de horario mediante huella dactilar está ocasionando en los últimos meses más de un quebradero de cabeza debido a la variedad de criterios de las autoridades de protección de datos.

Estos sistemas comportan el tratamiento de datos personales, ya que la huella dactilar (o cualquier otro dato biométrico) son datos personales a los que hay que prestar especial atención.

¿Qué es un dato biométrico? Por definición: “Información personal obtenida a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen su identificación única, por ejemplo, imágenes faciales, del iris, huellas dactilares, etc.”

En el año 2020 la Agencia Española de Protección de Datos publicó un Informe Jurídico en el que establecía su criterio al respecto:

• Los datos biométricos no tendrían la consideración de categoría especial en el caso de verificación o autenticación biométrica, es decir, comprobando que la persona en cuestión es quien dice ser, comparando sus datos biométricos, con sus propios datos biométricos existentes en la base de datos (uno-a-uno)

• Los datos biométricos tendrían consideración de categoría especial en los supuestos en que se sometan a un tratamiento técnico dirigido a la identificación biométrica, es decir saber quién es la persona en cuestión, comparando sus datos biométricos con otros que existen en la base de datos (uno-a-varios)

Con este criterio, cuando los datos no tengan consideración de categoría especial el procedimiento sería entregar un documento al trabajador para cumplir el deber de informar respecto a todas las condiciones del tratamiento exigidas en el RGPD, incluyendo la legitimación del tratamiento que sería el cumplimiento de una obligación legal por parte del responsable (Registro de Jornada Laboral)

En cambio, cuando los datos tienen consideración de categoría especial, el art. 9.1. RGPD establece que queda prohibido el tratamiento de “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, por lo que el cumplimiento de la normativa en este caso sería bastante más complejo, debiendo recoger el consentimiento explícito del trabajador para tratar este tipo de datos (por lo que puede darse el caso de que no todos los trabajadores estén de acuerdo y presten su consentimiento). Además, la empresa debe garantizar el respeto de los derechos fundamentales y de los intereses de los trabajadores, por lo que deberíamos realizar previamente una Evaluación de Impacto, valorando tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos, incluyendo un análisis de alternativas menos intrusiva y estableciendo garantías adecuadas.

Como decía, este es el criterio de la Agencia Española de Protección de Datos, sin embargo en el mismo año la Autoridad Catalana de Protección de Datos basándose en los mismos preceptos concluye que, de la distinción entre identificación y autenticación biométrica ambos son categoría especial de datos y por tanto, no es suficiente con informar al trabajador sino que se debían cumplir los preceptos indicados en el párrafo anterior para categorías especiales de datos.

Con todo ello, y aunque durante este tiempo hemos tenido en consideración el criterio de la Agencia Española de Protección de datos, el pasado 16/05/2022 el Comité Europeo de Protección de Datos ha publicado unas Directrices en las que establece que los datos biométricos siempre serán datos de categorías especial, estableciendo que, si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales y, más específicamente, un tratamiento de categorías especiales de datos personales”.

Por tanto, y a la espera de cómo evolucionan los criterios definitivos de las diferentes Autoridades de Control y la jurisprudencia al respecto, recomendamos que se eviten los sistemas de reconocimiento biométrico y, en todo caso, los que se utilicen sean de verificación o autenticación biométrica (uno-a-uno). No obstante, previo a su contratación, el sistema siempre ha de ser revisado por su consultor de protección de datos.

6 de junio de 2022