CRITERIOS DE LA AEPD SOBRE EL CONTROL DE PRESENCIA CON DATOS BIOMÉTRICOS
En un mundo cada vez más digitalizado, el manejo de datos biométricos ha tomado relevancia en diversos ámbitos, entre ellos el control de presencia en el ámbito laboral. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha publicado la guía "Tratamientos de control de presencia mediante sistemas biométricos" donde define los criterios a seguir en este tipo de tratamiento de datos, basándose en las recomendaciones del Comité Europeo de Protección de Datos.
Evaluación de Impacto y Limitaciones:
La Guía de la AEPD subraya que estos sistemas deben superar juicios de idoneidad, necesidad y proporcionalidad, lo que conlleva la obligación de realizar una Evaluación de Impacto antes de la implementación de sistemas de control de presencia basados en datos biométricos. Este proceso se convierte en un paso crítico, debido a que estos juicios, dificilmente podrán ser superados ya que, sintetizando, mientras exista un sistema alternativo de control de presencia que resulte menos intrusivo para la privacidad de las personas y con un menor riesgo de vulnerar los derechos individuales, no se podrá utilizar uno basado en el tratamiento de datos biométricos.
Categorías Especiales de Datos y Normativas:
Otra limitación viene derivada de la consideración de los datos biométricos como categorías especiales de datos, los cuales no pueden ser tratados salvo que se cumplan algunas de las excepciones recogidas en el RGPD. En la Guía ya se deja claro que en nuestro ordenamiento jurídico no existe una norma con rango de ley que habilite de forma específica este tratamiento para cumplir con la obligación empresarial de llevar un registro de jornada. Y por otro lado, el consentimiento del interesado tampoco lo puede legitimar.
Desafíos Empresariales y alternativas:
Otra cuestión muy relevante es la necesidad de que los proveedores de estos sistemas certificaran el alcance del tratamiento de la huella digital y las limitaciones sobre el mismo, así como el cumplimiento del sistema de las garantías que exige la normativa.
En DAXIA somos conscientes del desembolso significativo que puede haber supuesto la implementación de estos sistemas para las empresas como para desecharlo, pero la verdad es que nos encontramos ante una situación complicada para estas empresas. En este contexto, se exploran otras alternativas, como el control de presencia a través del móvil con geolocalización. Sin embargo, también se destaca la necesidad de realizar una Evaluación de Impacto antes de su implementación.
Conclusiones:
Nos encontramos ante un escenario desafiante para las empresas que utilizan sistemas biométricos para el control de presencia. La adaptación a las nuevas directrices de la AEPD y del Comité Europeo de Protección de Datos implica un análisis exhaustivo, evaluación de impacto y consideración de alternativas menos invasivas.
¿Cómo estamos abordando este desafío?
Queremos asegurarnos de que nuestros clientes estén informados y respaldados en este proceso y por eso estamos dedicando recursos a analizar la situación y buscando precedentes en los que la Agencia haya permitido dar continuidad a estos tratamientos. Si fuese así, ello implicaría la realización de una Evaluación de Impacto antes de la implantación del tratamiento, con el tiempo y coste que conlleva, recabar información documentada del proveedor que pudiese acreditar una minimización del riesgo, etc. y después someter la evaluación a consulta de la Agencia, que ante los argumentos esgrimidos en su Guía, sería enormemente difícil conseguir una autorización para el tratamiento.
La Guía deja claro que la tecnología no es la única vía...
¿Tienes dudas sobre lo que implica esta tipo de tratamiento de datos biométricos para tu empresa u organización?, en DAXIA nos ponemos a tu disposición para asesorarte y ayudarte en lo que necesites.
Ver también
CIBERATAQUES Y PYMES: Unos datos que asustan.
LOPDyGDD y el nuevo canal de denuncias
La AEPD multa con 9000 por no ocultar los destinatarios de un email.