Biometría y la protección de datos

Biometría y la protección de datos ¿Qué debemos saber?

El 12 de mayo comenzará la aplicación de la nueva normativa de control horario que obliga a registrar las entradas y salidas de todos los trabajadores. En dicha normativa no se especifica cómo deberán de realizarse el registro de dichas entradas y salidas, quedando en manos de la empresa, con el conocimiento de los trabajadores, escoger el sistema que mejor se adapte a sus necesidades. En este sentido, la biometría está siendo una de las tecnologías más escogidas por los empresarios por su fiabilidad a la hora de registrar las jornadas de los trabajadores. Sin embargo, el RGPD y la nueva LOPD subieron la protección de los datos biométricos a datos sensibles. Por lo tanto, ¿Cómo relacionar la  biometría y la protección de datos?

¿Cómo se consideran actualmente los datos biométricos?

Antes que nada, me gustaría explicar los cambios que el RGPD ha incluido en lo que respecta a este tipo de datos. La antigua LOPD consideraba los datos biométricos como datos de carácter personal simple o básico. Es decir, estaban equiparados a datos personales como números de teléfono o direcciones de correos. Sin embargo, el RGPD da un vuelco a la situación considerando dichos datos como datos de carácter sensible. Esto no significa que sean datos que no puedan ser tratados sino que se han de cumplir una serie de requisitos.

  • Consentimiento explicito – Se ha de recoger en un documento el consentimiento explicito de los trabajadores donde se especifique claramente con qué finalidad se van a obtener esos datos biométricos.
  • Evaluación de impacto – El tratamiento de datos de carácter sensible exige la realización una evaluación de impacto.
  •  Registro de actividades de tratamiento – El tratamiento de datos debe quedar registrado en todo momento.

Queda claro que podemos recabar dicha información pero que debemos realizar un trabajo previo para que esté acorde a la normativa de protección de datos.

Biometría y la protección de datos: ¿Cuál es la base jurídica?

El cumplimiento de los tres requisitos anteriores nos permite, como empresa, tratar datos sensibles tales como las huellas dactilares. Sin embargo, conviene conocer la base jurídica que nos habilita dicho tratamiento. Por ello, nos remitimos al Artículo 9.2 del RGPD el cual regula el cuándo podemos realizar un tratamiento de categorías especiales de datos personales. Los siguientes puntos son un resumen libre de dicho apartado.

  • Podremos realizar un tratamiento de categorías especiales de datos…
    • Si existe consentimiento expreso del interesado.
    • Para proteger el interés vital del interesado cuando este se encuentre incapacitado para tomar decisiones.
    • Cuando sea necesario para el cumplimiento de obligaciones establecidas o para llevar acabo los derechos de la protección de datos
    • Si estos datos son públicos y han sido publicados por el interesado
    • Por interés público esencial siempre que sea proporcional al objetivo perseguido
    • Para fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador.

Como podemos observar, recabar el consentimiento explícito es primordial para el tratamiento de los datos biométricos en el ámbito de trabajo y con el fin del registro de la jornada diaria. También  el cumplimiento de obligaciones establecidas  nos habilitaría al uso de datos biométricos, teniendo en cuenta la relación contractual entre empresa y trabajadores y la existencia de una normativa de registro, sin embargo, esto podría ser discutible.

¿Qué principios tenemos que tener en cuenta desde el punto de vista de la biometría y la protección de datos?

Existen tres principios que tenemos que tener muy presentes a la hora de tratar datos biométricos.

  • Principio de la necesidad – Implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar. Por poner un ejemplo, no deberíamos de registrar los datos faciales de los trabajadores si luego el fichaje va a ser realizado mediante huella digital.
  • Principio de idoneidad y proporcionalidad – Estos dos principios están relacionados con los riesgos que entrañan para la protección de los derechos y libertades fundamentales de las personas, el tratamiento de los datos personales. Por ello, tenemos que tener en cuenta que el uso de estos datos se justificará siempre y cuando los fines no pueden alcanzarse de otra forma menos agresiva.

Conclusiones

La normativa actual de protección de datos no prohíbe el uso de datos biométricos por parte de las empresas. Sin embargo, si que ejerce un mayor control que la normativa anterior. Debemos ser conscientes de que para el uso de dichos datos, necesitamos justificar la finalidad del tratamiento (ej. identificación inequívoca del trabajador a la hora de ejercer un control de presencia obligado por normativa estatal), recabar por escrito el consentimiento de los interesados de manera explicita, y ser siempre consecuentes con los principios de la necesidad, idoneidad y proporcionalidad.

Deja un comentario

Tu dirección de correo electrónico no será publicada.