Uso de datos biométricos para el control de presencia: ¿Sí o no?

inteligencia artificial (IA) turismo

Recientemente la Agencia Española de Protección de Datos ha elaborado y publicado una guía que versa sobre el uso de los datos biométricos, en el ámbito del control de presencia y acceso. Muchas empresas disponen de sistemas de huella dactilar para control de presencia de sus trabajadores, o bien para autenticar el acceso a ciertas instalaciones por motivos de seguridad. Hasta la fecha, el tratamiento de estos datos se realizaba conforme a la normativa de protección de datos vigente, siempre y cuando se informase a los trabajadores de su uso en una cláusula de información y consentimiento. La huella dactilar se recogía mediante un algoritmo, que convertía dicho dato biométrico en un código numérico o alfanumérico de difícil interpretación. Pues bien, este criterio ha cambiado radicalmente a raíz de la interpretación que realiza el Comité Europeo de Protección de Datos y, consecuentemente, la Agencia Española de Protección de Datos.

El Comité Europeo, en su guía 05/2022 sobre el uso de tecnologías de reconocimiento facial, declaró los datos biométricos como especialmente protegidos, tanto en su uso de autenticación como identificación. Esta interpretación supuso un impacto importante debido al creciente uso de dichos datos en diversas facciones de nuestras vidas. Y así lo recogió la Agencia aterrizando el nuevo concepto al ámbito laboral, donde la protección de los datos de los trabajadores siempre es objeto de análisis y verificación de cumplimiento.

La guía no prohíbe de plano el uso de la biometría en la identificación y control de acceso, pero pone suficientes trabas como para evitar su uso y buscar otras alternativas menos intrusivas en la privacidad de los trabajadores. A continuación damos las principales conclusiones e indicaciones del organismo regulador, sobre este tratamiento de datos biométricos:

– El uso de los datos biométricos supone directamente un caso de categorías especiales de datos, tanto en el uso para autenticación como control de presencia.

– Si realizamos este tratamiento, debemos analizar la cantidad de datos que recogemos, tanto en número como en diversidad. Pensemos en situaciones donde podamos cruzar datos de autenticación, con otros de tipo conductual. Aquí sí hablaríamos de datos excesivos y no estaríamos legitimados para su uso.

– Debemos realizar un análisis de impacto sobre la privacidad, que incluya tanto la tecnología utilizada para el uso de los datos biométricos, como sus posibles brechas o vulnerabilidades en su tratamiento. Los resultados pueden ser definitivos si vemos muchas deficiencias o posibilidades de mal uso de los datos.

– A pesar de que existe una normativa laboral que habilita el control de presencia de los trabajadores, no existe de forma expresa la posibilidad del uso de datos biométricos. Por ello, se entiende que su uso son excesivos para dicha finalidad y no encuentra soporte legal en ninguna norma actualmente aprobada.

– Únicamente en el caso de necesidad completamente justificada y argumentadla, y garantizando la seguridad en el tratamiento de los datos de forma completa, podría habilitarse el uso de los datos biométricos, pero entendemos que dicha posibilidad se antoja muy complicada.

En conclusión, el uso de los datos biométricos como la huella dactilar, en el control de acceso y presencia de los trabajadores, no encuentra un soporte legal ni legitimación para su uso. ¿Se encuentra enteramente prohibido? No, pero es muy complicada su habilitación y solamente sería posible mediante una justificación de interés público o por motivos de alta seguridad. Podríamos añadir la inclusión de su tratamiento vía convenio colectivo, pero entendemos que esta vía también es muy complicada.

Para finalizar, me gustaría reflexionar como puede impactar esta interpretación en el uso del reconocimiento facial que recientemente ha sido puesto en marcha en el Aeropuerto de Palma. Si seguimos a pies puntillas este criterio, no tengo muy claro si es legítimo o no. Pero este debate lo dejamos para otra ocasión.

Lectura relacionada:

El Reglamento IA: Desafío y adaptación para las empresas – MONLEX

Sentencia pionera: Un Juzgado de lo Social reconoce a un trabajador una infracción por daños y perjuicios por el tratamiento ilícito de sus datos biométricos. 

Top 10 de ciberamenazas hasta el año 2030

Compartir este artículo

Autor

Asesor de cumplimiento normativo en tecnologías de la información y la comunicación (TIC), con estudios en Derecho y certificaciones internacionales como Auditor Certificado de Sistemas de Información (CISA) y Gerente de Seguridad de la Información (CISM). Se ha especializado en normativas como ISO 27001, ISO 22301 y el Esquema Nacional de Seguridad, así como en la gestión del riesgo.
Palabras relacionadas

Mantente informado con consejos legales de Monlex

No hay spam, sólo enviamos actualizaciones sobre nuestras áreas de práctica

Artículos relacionados

¿Requiere asistencia legal?

Reciba asesoramiento legal personalizado de nuestros expertos en MONLEX.