La última novedad del año está relacionada con la publicación de una guía, por parte de la AEPD, sobre tratamientos de control de accesos mediante sistemas biométricos. A través de ella, pone de manifiesto que considera estos sistemas como una intrusión de gran impacto en la privacidad de las personas y, por tanto, de alto riesgo. En Gesprodat, consideramos vital que tengas en cuenta este pronunciamiento para no incurrir en ilegalidad.
¿Se puede aplicar actualmente el control de accesos por datos biométricos?
No, está completamente prohibido, salvo que la empresa en cuestión reúna una serie de requisitos muy estrictos, recogidos en el artículo 9.2 del RGPD. Te detallamos algunos de ellos:
- El uso de esta tecnología es imprescindible para el cumplimiento de un precepto legal o para el ejercicio de derechos específicos del responsable.
- El consentimiento del trabajador o del usuario debe ser libre, específico, informado e inequívoco.
- Es necesaria su utilización para proteger los intereses vitales del interesado u otra persona física.
Además, este organismo obliga a la adopción de una serie de medidas con el fin de garantizar la protección de estos datos. Algunas de ellas son las que siguen:
- Empleo de sistemas de cifrado de datos biométricos.
- Informar a las personas sobre este tratamiento y los altos riesgos que conlleva.
- Limitación de acceso a esta información solo a personas que lo necesiten para el cumplimiento de sus funciones.
- Reforzar la seguridad de los sistemas de almacenamiento de datos biométricos.
- Implementar la posibilidad de eliminar el vínculo de identificación entre la plantilla biométrica y la persona física.
- Garantizar la imposibilidad de utilizar estos datos con cualquier otro fin.
- Imposibilitar de manera técnica la interconexión entre la base de datos biométricos y su divulgación no comprobada.
- Supresión de esta información cuando no tenga relación con la finalidad que motivó su tratamiento.
- Efectuar la protección de datos desde el diseño.
- Minimizar el número de datos recogidos. Igualmente, es preciso realizar una evaluación objetiva para asegurar que no se aplica ningún tratamiento de categorías especiales con esa información.
¿Cuáles son las principales dificultades y matices de esta práctica?
El artículo 9.1 del RGPD establece la prohibición de cualquier procesamiento de datos biométricos que dé cuenta del origen étnico o racial de una persona. Tampoco debe implicar el conocimiento de sus opiniones políticas o religiosas ni su afiliación sindical. Asimismo, prohíbe su identificación de forma unívoca, sus tendencias sexuales o su estado de salud.
La AEPD entiende que con la tecnología actual, especialmente la IA, toda esa información se puede saber, incluso sin que el afectado sea consciente de ello. En consecuencia, considera de alto riesgo usar esta tecnología para el control de accesos por la posibilidad de categorización de los datos recogidos.
Por otro lado, respecto al consentimiento, este organismo argumenta que no puede constituir una base legítima. La razón que esgrime es la existencia de un desequilibrio de poder entre trabajador y empleador. Por lo tanto, la expresión del consentimiento no es libre y sin presión.
Por último, la AEPD manifiesta a través de su guía de tratamientos de control de presencia que tampoco se dan las condiciones del artículo 9.2 b). Estas son imperiosas obligaciones legales o derechos específicos del responsable.
En definitiva, el control de accesos mediante datos biométricos es, en principio, ilegal. No porque lo diga la AEPD en esta guía, sino porque ya lo indicaba el RGPD. En esta guía, la AEPD pone negro sobre blanco en lo referente a su uso.