En los últimos meses estamos recibiendo muchas consultas acerca de los sistemas que hoy en día, y cada vez más, utilizan las empresas para controlar la asistencia al puesto de trabajo, acceso a una determinada información o a estancias de un edificio.
Quiero hablar sobre la huella dactilar, que es un dato biométrico y por lo tanto, calificado en el Reglamento Europeo como de “categoría especial”, es decir un dato que ha de tener una protección más intensa, equiparable a los de orientación sexual, ideología o datos de salud.
¿Qué son los datos biométricos?
Según el art. 4 del RGPD, los datos biométricos se definen como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. De este modo, se reconoce una cierta amplitud de procedimientos o sistemas basados en la obtención de esta categoría de datos personales; cualquier sistema de identificación mediante huella dactilar o reconocimiento facial, sería objeto de las directrices contempladas para esta materia por el RGPD.
Esta modificación en la calificación otorgada a los datos biométricos, implicará que se deban revisar los sistemas implementados, y posiblemente, un incremento en las medidas de seguridad a adoptar por el Responsable del Tratamiento, con el fin de dotar de una mayor protección a esta categoría especial de datos personales. Precisamente en relación a las medidas de seguridad aplicables, el nuevo RGPD ha introducido modificaciones interesantes en esta materia.
Algunos datos biométricos:
- Huella dactilar. Es el dato biométrico más usado, por su bajo coste y su fácil acondicionamiento. La huella dactilar además tiene una tasa muy alta de precisión.
- Reconocimiento facial. Se identifica al trabajador a través de una imagen o fotografía.
- Reconocimiento del iris. Este reconocimiento se realiza a través de una cámara de infrarrojos, que hace una fotografía al ojo, mediante la cual se obtienen los detalles del iris.
- No suele fallar a la hora de identificar al trabajador ya que la información que se almacena en el iris no varía.
- Reconocimiento de la geometría de la mano. De una imagen en 3-D de la mano del trabajador, vamos a determinar todos los detalles posibles, como por ejemplo la longitud, curvatura y grosor de los dedos, las medidas de la mano y su estructura ósea.
- Puede no resultar muy fiable ya que si el trabajador sufre lesiones en la zona, la identificación puede verse afectada.
- Reconocimiento de retina. Se realiza a través de un escáner de la retina mediante una cámara de infrarrojos.
- Los patrones son únicos en cada trabajador y no varían.
- Reconocimiento de firma
- Reconocimiento de escrito
- Reconocimiento de voz
- …….
¿Qué indicaba la LOPD?
La Agencia Española de Protección de datos señaló en su día que la huella dactilar era un dato personal puesto que sirve para la identificación de personas; esto implicaba aplicar un tratamiento análogo a otros datos de carácter personal circunscritos, por ejemplo, a las necesidades de identificación para el cumplimiento del contrato laboral, según artículo 3 LOPD.
Y hay que recordar que en la LOPD existía el supuesto de consentimiento tácito, que daba un margen amplio a la hora de utilizar datos personales. No era necesario el consentimiento previo para la utilización de este dato para comprobar los accesos, en base al principio de interés legítimo. El artículo 6.2 de la LOPD establecía este supuesto.
¿Qué establece el RGPD?
El Reglamento Europeo de Protección de Datos (RGPD) tiene un capítulo específico para datos biométricos. Entiende que deben ser considerados y tratados como datos de carácter sensible. Como principio general, está prohibido el tratamiento de datos biométricos, porque se quiere evitar la identificación de una persona en base a orígenes étnicos, ideología política o datos genéticos.
Sin embargo, sí existen excepciones en la que se pueden utilizar los datos biométricos:
- Recabando el consentimiento explícito de los trabajadores en un documento donde se especifique claramente con qué finalidad se van a obtener esos datos biométricos
- realizando una evaluación de impacto sobre estos datos y
- llevando a cabo el registro de actividades de tratamiento.
¿Cuál es la base jurídica para realizar el tratamiento de estos datos?
La base jurídica a estos tratamientos la encontramos en el artículo 9 del RGPD:
- Por consentimiento expreso del interesado.
- Para proteger el interés vital del interesado cuando este se encuentre incapacitado tomar decisiones.
- Cuando sea necesario para el cumplimiento de obligaciones establecidas o para llevar a cabo los derechos de la protección de datos.
- Si esos datos son públicos y han sido publicados por el interesado.
- Por interés público esencial siempre que sea proporcional al objetivo perseguido.
- Y también con fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador.
¿Cuáles son los principios que rigen al tratamiento?
Principio de necesidad, idoneidad y proporcionalidad en el tratamiento
Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el trabajador.
El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.
El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.
Protección de datos biométricos
Tratar estos datos sensibles por parte de la empresa va a suponer que tengamos unas medidas de seguridad para certificar que se está cumpliendo con el RGPD.
Como responsables del tratamiento debemos garantizar la privacidad y proteger esos datos de aquellas personas que no estén autorizados para tratarlos. Además de protegerlos de una destrucción o pérdida accidental o ilícita. Las medidas técnicas para tratar estos datos deben ser las siguientes:
- Que se almacenen en plantillas biométricas cuando sea posible.
- Que no se realice un almacenamiento centralizado de estos datos, si no que se almacene en dispositivos cifrados que porten los interesados.
- La información de los datos biométricos debe almacenarse siempre de forma cifrada.
- Es recomendable suprimir los datos biométricos de forma automática cuando se cumpla el tiempo necesario para el fin por el que fueron recogidos.
Además se determina la obligación por parte del responsable del tratamiento de establecer un protocolo de control de acceso donde se registre, qué persona ha accedido a esos datos, la fecha y hora en que se accedió y los datos a los que se ha accedido.
*Preguntas 10ª Sesión Anual Abierta de la AEPD. Teatros del Canal-Sala Roja. 4 de junio de 2018
¿Cómo debería configurarse el consentimiento explícito para el uso de tecnologías biométricas de reconocimiento facial en la entrada de establecimientos en el caso de que no aplique ninguna de las excepciones reguladas en el artículo 9?
- Conforme al considerando 51 del RGPD el tratamiento del rostro con software de reconocimiento facial se encuentra dentro de los datos biométricos.
- Para resolver la cuestión habrán de tenerse especialmente en cuenta los principios de minimización y de licitud del tratamiento (en este caso de categorías especiales de datos).
- En el ámbito laboral el uso de estas tecnologías podría considerarse una medida de control por el empresario, admitida por el artículo 20 ET siempre y cuando sea proporcional, lo que exigiría tener en cuenta la naturaleza de la actividad y de las instalaciones para cuyo acceso se requiriese el reconocimiento facial.
- En los restantes supuestos no existiría una habilitación similar, si bien podría ser posible el tratamiento cuando se tratase de preservar la seguridad de determinadas instalaciones. Como las estratégicas, así como en determinados supuestos amparados por la Directiva 2016/680
Actualmente la mayoría de los aparatos fichadores de las empresas son por huella dactilar. Sería un dato biométrico dirigido a identificar de manera unívoca a cada persona física (la totalidad de la muestra). ¿Debo pedir consentimiento expreso y libre a cada trabajador? ¿Si un trabajador no me lo da, tendré que proporcionarle otro método de fichaje?
- El tratamiento de la huella digital para el control de acceso por los trabajadores podría considerarse una medida de control amparada en el artículo 20 del Estatuto de los Trabajadores, por lo que no exigiría consentimiento del empleado.
- No obstante, para implantar esta medida debería aplicarse el principio de minimización; es decir, debería limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz.
Si tiene en mente implementar este tipo de dispositivos y tecnologías en su empresa le recomendamos que se asesore en una empresa protección de datos