El empleo de datos biométricos ha sido uno de los grandes avances del siglo XXI, sin embargo, también ha traído grandes dilemas desde el punto de vista de la protección de datos personales.
En los últimos años hemos escuchado hablar sobre los sofisticados sistemas que se han empleado en el ámbito laboral para el control de horarios de los empleados, cosa que nos inspira incluso a la famosa obra de George Orwell, “1984”. Sin embargo, a pesar de las facilidades que esta tecnología nos puede dar, también puede conllevar una severa infracción de la protección de datos de los trabajadores.
¿Qué son los datos biométricos?
Esta tipología de datos incluye aquellos que sean de carácter personal referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única. Esta se lleva a cabo a través de procesos técnicos, que recopilen información relativa al aspecto físico, corporal o conductual, como su imagen facial, huella digital o similares.
Existen distintas categorías según su naturaleza:
- Universal: el que existe en toda persona sin distinción.
- Único: dato distinguible de cada individuo.
- Permanente: dato mantenido de forma continua.
Por otro lado, según las características individuales que recogen, se diferencian dos grupos:
- Características físicas y fisiológicas: Huella dactilar, reconocimiento facial, reconocimiento del iris, geometría de la mano, reconocimiento de retina y reconocimiento vascular.
- Características del comportamiento y la personalidad: reconocimiento de firma, reconocimiento de escritura, reconocimiento de voz, reconocimiento de escritura de teclado y reconocimiento de la forma de andar.
¿A qué categoría de datos corresponden?
Los datos de carácter biométricos siempre han sido difíciles de categorizar debido a su compleja naturaleza jurídica, cosa que no ha hecho más que agravarse a lo largo del tiempo y desde la aparición del RGPD.
Actualmente están considerados como una categoría de datos especiales, cuyo tratamiento no estará permitido en gran parte de las ocasiones, menos cuando el fin sea identificar de forma inequívoca a una persona física.
Sin embargo, encontramos algunos supuestos donde si que estaría permitido:
- Cuando se otorgue el consentimiento explícito para dicho tratamiento por parte del interesado, salvo que haya prohibición legal.
- Cuando el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicios de derechos específicos del responsable de tratamiento o del propio interesado, con relación a aspectos relativos al derecho laboral, protección social y seguridad.
- Para proteger intereses vitales.
- Cuando exista un interés público esencial.
- Para fines de medicina preventiva.
Pero para que el uso de los datos biométricos sea lícito en dichos supuestos es primordial que se respete el principio de proporcionalidad, cumpliendo los criterios de idoneidad, necesidad y proporcionalidad estricta. Pudiendo requerirse el cumplimiento de los principios de intervención mínima, minimización de datos y conservación de los datos.
Como hemos dicho, pertenecen a una categoría especial, pero si nos basamos en la definición del RGPD, solo aquellos que se destinen a la identificación única de una persona. Lo cual, ha producido grandes polémicas, ya que hay una distinción marcada entre los datos biométricos para identificar, frente a los que se emplean para autenticar.
Pero, ¿en qué se diferencian?
La identificación consiste en comparar los datos biométricos, adquiridos en el momento de la identificación, con una serie de plantillas biométricas almacenadas en una base de datos. Sin embargo, la autenticación, consiste en probar que es cierta la identidad que un individuo reclama.
La AEPD, en documentos como la guía La protección de datos en las relaciones laborales, recomendaba a las empresas emplear sistemas de registro de horario consistentes en la autenticación mediante biometría, en lugar de identificación por biometría.
A pesar de todo esto, la biometría ha seguido en el punto de mira, terminando por ser prohibida por parte de las nuevas directrices del Consejo Europeo de Protección de Datos. Este ha alegado que tanto la identificación como la autenticación tratan datos biométricos de una persona física, ya sea identificada o identificable, por tanto, es un tratamiento de categoría especial de datos personales.
Entonces, ¿podría usarlo en el ámbito empresarial?
Basándonos en las Directrices, no, ya que no se podrían tratar este tipo de datos en el ámbito laboral. Pero según el RGPD y lo recomendado anteriormente por la AEPD, siempre que fuesen de autenticación y no de identificación, si que podrían ser usados cuando la empresa respetase y cumpliese los siguientes deberes:
- En primer lugar, tienen el deber de informar a los titulares cuyos datos van a ser tratados, con qué finalidad y los derechos que puede ejercer.
- Los afectados deben dar su consentimiento válido y expreso. En caso de empleados, deben firmar, o bien en el propio contrato de trabajo, o en un documento específico, su consentimiento para que la empresa recoja y trate sus datos biométricos. Si son clientes o usuarios también lo firmarán expresamente en un documento al acceder a la empresa.
- Se deben implementar medidas administrativas, físicas y técnicas para garantizar y velar por la integridad, confidencialidad y disponibilidad de los datos personales, con la finalidad de garantizar la seguridad, pilar básico para para un efectivo sistema de protección de datos personales. Además, se deberán de implementar medidas de seguridad específicas para proteger los datos biométricos.
- El responsable deberá guardar confidencialidad respecto de estos datos.
- Y, finalmente, la empresa está obligada a realizar una evaluación de impacto al ser considerados datos sensibles por el RGPD.
Además, como ya hemos explicado anteriormente, estos datos se pueden emplear siempre y cuando el trabajador otorgue su consentimiento expreso, o para cumplir obligaciones de Derecho Laboral, como es el caso del control horario.
Pues bien, como ya se ha adelantado antes, todo esto ha sido cambiado por las nuevas Directrices 05/2022 del Consejo Europeo de Protección de Datos.
Esto es debido a que se expone que la relación que tienen el empleado y el empleador es una relación de desequilibrio, que produce, por defecto, el vicio del consentimiento que pueda dar el empleado para el tratamiento de este tipo de datos.
En cuanto a la empleabilidad de estos métodos para el control de la jornada laboral, autoridades de protección de datos ya se habían mencionado anteriormente en contra de este argumento, ya que no se determina en ningún momento la modalidad para llevar a cabo este control y tampoco se prevén autorizaciones para el uso de datos especiales. Además, se considera que la afectación por el derecho a la protección de datos que se deriven de la norma debe ser previsible, y en este caso, no se puede considerar así la norma si no concreta la posibilidad de utilizar datos biométricos para este fin.
Todo lo expuesto anteriormente, no lleva a pensar que ningún sistema en el que se empleen datos biométricos podrá cumplir los requisitos legales, quedando las empresas a merced de las posibles sanciones económicas que les puedan ser impuestas.
Si tienes dudas acerca del uso de datos biométricos en tu organización, contacta con nosotros y nuestro equipo podrá asesorarte para el correcto cumplimiento.
Autora: María Santa
