Entre las novedades del RGPD del 27 de abril de 2016 referente a la protección de personas físicas para sus datos personales y la libre circulación de los mismos, se expresa la inclusión de todo dato biométrico como dato de tipo personal de carácter especial o de gran sensibilidad.
Cuáles son las claves de los datos biométricos protegidos
El artículo 4.14 del Reglamento General de Protección de Datos recoge una descripción de lo que debemos considerar como datos biométricos: aquellos que se obtienen a través de un tratamiento técnico específico y que tienen que ver con las características físicas, conductuales o fisiológicas de un individuo físico, y que sirven o permiten identificar a dicha persona de forma única. Como ejemplo de ello sirven la huella dactilar o las imágenes faciales reconocibles en vídeos o fotos de cámaras.
A este respecto, se detalla en el artículo 9.1 del mismo reglamento que, al tratarse de datos de especial consideración, queda prohibido terminantemente el uso de los mismos. Sin embargo, en el punto 2 se recogen las excepciones que se prevén para el uso de este tipo de datos biométricos dentro del entorno de la Unión Europea, y que se podrán introducir y mantener condiciones adicionales, con sus limitaciones, en cuanto al tratamiento y uso de datos genéticos, biométricos y relacionados con la salud de las personas físicas.
La ley Orgánica 3/2018 para la protección de datos personales y la garantía de los derechos digitales no incluye una regulación concreta para los datos biométricos, pero existe una previsión de condiciones y garantías en cuanto al control de los trabajadores, incluyendo el uso de equipos de registro digital, la videovigilancia y la geolocalización en el ámbito del trabajo, y que se recogen en los artículos 87, 89 y 90 de la misma ley. A pesar de esto no se alude al uso de datos de tipo biométrico en sistemas de control laboral.
Existen autoridades distintas de control, entre ellas la Autoridad Catalana de Protección de Datos, el Garante Italiano y la CNIL de Francia, que recogen ciertos detalles sobre el uso específico de estos datos biométricos en el trabajo. Dichos detalles concretos, considerados esenciales para el registro y tratamiento de estos datos, especialmente sensibles, son:
– Los momentos en que hay que proteger los intereses legítimos de empleados, empresarios y terceros.
– El uso de dichos datos si no existen otros métodos menos intrusivos para cumplir la misma función.
– Su uso exclusivo cuando existen las garantías de seguridad y privacidad adecuadas.
– Su uso debe realizarse con métodos probados y reconocidos de manera científica.
– Debe estar justificado por los parámetros de la seguridad y la proporcionalidad.
Cómo afectan estas condiciones a su aplicación en la empresa
De acuerdo con el artículo 35 del Reglamento, y con carácter previo al inicio de un sistema de control en una empresa, será necesario considerar las implicaciones de la tecnología del método que se va a emplear, y se deberá observar de manera sistemática el hábito de cada trabajador y el tratamiento de sus datos de tipo especial, en este caso los biométricos.
Será preciso realizar siempre una primera evaluación del impacto, en la que se deberá estudiar hasta qué punto tiene legitimidad el tratamiento que se va a implementar y si la proporcionalidad es la adecuada y necesaria. De este modo, se podrán evaluar mejor los riesgos que pueden derivarse de un tratamiento de este tipo a fin de diseñar las medidas apropiadas para poder mitigarlos y controlarlos en el caso de que lleguen a darse.
Se necesitará analizar y justificar la necesidad de implantar en la empresa este tipo de control, y de cuales quiera otros que, aunque no impliquen el uso de datos biométricos, puedan servir para cumplir el mismo objetivo.
La Agencia Catalana de Protección de Datos describe que no es posible incluir de manera automática la legitimidad a la hora de implantar un sistema de control de horas que se basa en recabar datos de tipo biométrico. Para ello, se requiere la evaluación de impacto a tenor de las circunstancias específicas en las que se va a aplicar el tratamiento de los datos. En dicha evaluación es donde, se insiste, se determinará el grado de proporcionalidad y legitimidad, con la relación de medidas alternativas y menos intrusivas, si las hubiere.
Se puede justificar el uso, por ejemplo, de la huella dactilar de los empleados a la hora de controlar el acceso a ciertas dependencias de la empresa que reclamen mayores medidas de seguridad, dado que su implantación y utilización se justifica en la aplicación de medidas de control más robustas, implicando que, en ciertas instalaciones, se maneja información especialmente sensible para el desarrollo adecuado del trabajo.
En definitiva, a la hora de implantar un sistema de control mediante el tratamiento de datos biométricos resulta imprescindible analizar las alternativas menos intrusivas y justificar su empleo de acuerdo con el RGPD.