La Agencia Española de Protección de Datos (AEPD) ha presentado la «Guía Tratamientos de control de presencia mediante sistemas biométricos» , un documento esencial que establece directrices precisas para la utilización de tecnologías biométricas en el control de acceso, tanto en ámbitos laborales como en otros contextos. Esta guía detalla las medidas necesarias para garantizar que el tratamiento de datos personales con esta tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) y otras regulaciones pertinentes.
El avance acelerado de los sistemas biométricos y el tratamiento de datos derivados de ellos plantea desafíos éticos y legales. Estos sistemas han evolucionado para recopilar información detallada e incluso obtener datos sin el conocimiento consciente de las personas, todo ello impulsado por el desarrollo de la inteligencia artificial, capaz de inferir información adicional sobre los individuos.
La AEPD considera que el tratamiento de datos biométricos, ya sea para identificación o autenticación, representa un riesgo significativo e incluye categorías especiales de datos. El RGPD exige circunstancias específicas para legitimar y levantar la prohibición del tratamiento de dichas categorías.
En el ámbito laboral, la Guía destaca que, para el registro de jornada y control de acceso, el consentimiento no es suficiente para legitimar el tratamiento. Se requiere una normativa legal específica, según el artículo 9.2.b del RGPD. Además, subraya que existe un desequilibrio entre la persona y la entidad que lleva a cabo el tratamiento, lo que limita la viabilidad del consentimiento como base legal.
Para el control de accesos fuera del ámbito laboral, el consentimiento tampoco es una circunstancia que levante la prohibición, dada la naturaleza de alto riesgo de este tratamiento y su falta de necesidad, según el artículo 35.7.b del RGPD.
La Guía impone restricciones en tratamientos biométricos que toman decisiones automatizadas sin intervención humana, especialmente cuando tienen efectos legales significativos o impactos sustanciales en la persona.
Antes de iniciar cualquier tratamiento biométrico, la Guía requiere una Evaluación de Impacto para la Protección de Datos, garantizando la superación del análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Además, la AEPD ha incluido una serie de medidas para garantizar el cumplimiento de los principios del RGPD, como informar a las personas sobre el tratamiento biométrico, implementar revocaciones, utilizar cifrado y formatos de datos específicos, entre otros.
Estas directrices ofrecen un marco sólido para asegurar un uso ético y legal de la biometría en el control de acceso, protegiendo los datos personales y respetando los derechos fundamentales de los individuos.