Control de presencia con técnicas biométricas: requisitos y limitaciones

La introducción de las técnicas biométricas en el control de presencia, sobre todo en el entorno laboral, está generando ciertas dudas con respecto al tratamiento de los datos que se dan a conocer en el proceso. Esto se debe a que son sistemas en los que se registra información sobre alguna característica física única de la persona, generalmente, la huella dactilar o los ojos. 

Es decir, se trata de datos muy delicados que hay que abordar con especial cuidado. En este artículo, vamos a definir cuáles son los requisitos para poder implantar estos sistemas en las empresas, así como sus limitaciones para asegurar la correcta protección de los datos recogidos. Todo ello se extrae de la nueva guía proporcionada por la Agencia Española de Protección de Datos. 

El tratamiento de estos datos se rige en función a lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos. Con ello, se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). 

Limitaciones del tratamiento de los datos en los sistemas biométricos

Lo primero que hay que conocer es que la mayoría de los datos que utilizan los sistemas biométricos pertenecen a “categorías especiales”, como señalan desde la AEPD. Esto quiere decir que son datos que identifican de forma inequívoca a una persona y que, por lo tanto, deben tratarse con especial sensibilidad. 

Así, se especifica que, en la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño. Por defecto, se deben utilizar las medidas alternativas equivalentes, menos intrusivas, y que traten el menor número de datos adicionales posibles. 

Para levantar la prohibición de tratar las categorías especiales de datos, se establecen varias circunstancias, a las que se añade cumplir con una condición que legitime el tratamiento: 

• “En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española”.
• “En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento”.
• “Para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición según el art.9.2 del RGPD. El consentimiento tampoco lo podrá ser, al resultar un tratamiento de alto riesgo, y que tendría que superar el requisito de necesidad establecido para dichos tratamientos”.

Cualquier utilización que se lleve a cabo de los datos biométricos con finalidades adicionales a la de control de presencia, deberá tener sus propias circunstancias de levantamiento de la prohibición y de condiciones que lo legitimen. 

Huella dactilar (Imagen: Archivo)

Requisitos de implantación de los datos biométricos

Además de las limitaciones mencionadas, se establecen una serie de requisitos para implementar los sistemas biométricos en el control de presencia:

• “No se pueden tomar decisiones automatizadas sin intervención humana, que tengan efectos jurídicos sobre el interesado o que le afecten significativamente de modo similar basadas en el proceso biométrico”. Todo ello siempre y cuando no se cumpla la circunstancia de un interés público esencial basado en una norma con rango de ley que respete el derecho a la protección de datos. Además, debe establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado. 
• Si el sistema biométrico se implementa con inteligencia artificial, se deben tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial. 

En cualquier caso, es obligatoria la superación favorable, antes del inicio del tratamiento de los datos, de una Evaluación de Impacto para la Protección de Datos. En ella, se debe encontrar documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos. 

(Imagen: E&J)

Se cumplen los requisitos, ¿y ahora qué?

Una vez se pase esta fase, lo siguiente es la implantación de los sistemas biométricos. Para ello, se deben llevar a cabo las siguientes medidas: 

• «Informar a los trabajadores, o personas si no se está en un entorno laboral, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
• Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
• Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
• Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
• Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
• Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
• Aplicar la minimización de los datos biométricos recogidos, con una  evaluación objetiva de que no ha posibilidad de revelar categorías  especiales de datos adicionales.
• En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el art. 91 de la LOPDGDD».

Mientras, las medidas recomendadas para minimizar el riesgo son: 

• La utilización de tecnologías biométricas debería basarse en utilizar dispositivos bajo el control exclusivo de los usuarios.
• Es recomendable que la toma de los datos se realice de forma consciente por el individuo, e incluso con la exigencia de una acción positiva para iniciar el procesamiento de datos biométricos.
• Preferentemente no debería emplearse un almacenamiento centralizado de las plantillas biométricas.
• Deberían implementarse mecanismos automatizados de supresión de datos.

Todas las acciones mencionadas se revisarán y actualizarán cuando sea necesario para irse adaptando a estos nuevos tiempos en los que los sistemas biométricos, al igual que la inteligencia artificial, vienen pisando fuerte.