El pasado 23 de noviembre la Agencia Española de Protección de Datos (AEPD) publicó la “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”. La guía establece criterios para la utilización de la biometría en el control de acceso, tanto laboral como no laboral, cumpliendo con el Reglamento General de Protección de Datos (RGPD) y otras normativas. A raíz de esta publicación, múltiples diarios se hicieron eco de la noticia, algunos de ellos con titulares tan sentenciadores como “Europa prohíbe la huella dactilar para fichar en el trabajo” (Huffpost).

La AEPD, hasta ahora, sólo consideraba la identificación por biometría (sólo se utiliza la credencial biométrica para identificarse), dejando fuera la autenticación (1º le dices al terminal quién eres a través de PIN, tarjeta, código QR y seguidamente muestras la credencial biométrica registrada), como tratamiento de categorías especiales de datos. Ahora, la AEDP ha tenido que cambiar el criterio. El Comité Europeo de Protección de Datos considera que la utilización de datos biométricos supone un tratamiento de categorías especiales de datos de alto riesgo.

También hasta ahora, si se cumplía alguna de las excepciones previstas en el artículo 9.2 del RGPD, como el consentimiento del trabajador, se permitiría levantar la prohibición general del tratamiento de estos tipos de datos establecida en el artículo 9.1. (además de cumplir una de las bases legitimadoras establecidas en el artículo 6 del RGPD). Ahora, en esta guía, hay un cambio de interpretación.

¿Cuál es la problemática que aparece con la nueva guía sobre el uso de sistemas biométricos?

El consentimiento del interesado era una de las excepciones, pero en esta guía se concluye que ésta deja de ser una base legítima, “al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento”.

Tampoco sirven ni el artículo 20 del Texto refundido del Estatuto de los trabajadores ni la obligatoriedad de fichar la jornada laboral (Real Decreto-Ley 8/2019). Se debería concretar la posibilidad de utilizar datos biométricos en una norma con rango de ley, que actualmente no existe.

También señala esta guía que, ni la existencia de un contrato ni el consentimiento, fuera del ámbito laboral, para el control de acceso, legitima el tratamiento de datos biométricos.

Entonces, ¿no podemos utilizar dispositivos biométricos ni para el control horario (fichar) ni para controlar el acceso?

¿Qué debemos tener en cuenta si ya estamos utilizando un sistema biométrico o planteamos la posibilidad de implementar uno en nuestra empresa?

A pesar de lo categórico de ciertos titulares, entendemos que la captura de datos biométricos no está prohibida si se superan todos los requisitos de cumplimiento de los principios del RGPD.

Si ya estáis utilizando algún dispositivo biométrico para fichar, seguramente ya tengáis una Evaluación de Impacto para la Protección de Datos objetiva, en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento. Por otro lado, deberéis llevar un registro de actividades del tratamiento, con todas las medidas de seguridad (organizativas y técnicas).

Si necesitáis implementar un nuevo sistema para el control horario, y no estáis seguros si se puede hacer con biometría, lo primero es llevar a cabo lo mencionado anteriormente. Además, es necesario preparar la plantilla de tratamiento y cesión de datos de empleados, con el fin de obtener su consentimiento con las opciones que explicaremos a continuación. En el caso de que ya la tengáis, deberías volver a recabarla.

Desde Biosys entendemos que se podría seguir fichando si eliminamos esa “situación de desequilibrio” entre trabajador y empresario (el responsable del tratamiento).

¿Y cómo eliminamos la “situación de desequilibrio entre el interesado y el responsable del tratamiento de datos” que menciona la guía? A nuestro entender, la eliminaríamos si el interesado dispone de una alternativa real de libre elección para cumplir con el control horario, y es éste quien escoge y presta su consentimiento al tratamiento de sus datos biométricos. En el caso de Biosys, siempre incorporamos alguna credencial alternativa (PIN, tarjeta, móvil o QR) en los sistemas biométricos que ofrecemos ya que implementamos terminales  con múltiples tecnologías. Existe incluso la posibilidad de grabar dicho patrón biométrico en una tarjeta (smart card). En este escenario, a un empleado se le otorga libertad de elección, de prestar o no prestar el consentimiento para que se procese su patrón biométrico, por lo que dicho consentimiento se prestaría bajo una libre expresión, y bajo el control real del interesado, y esa desigualdad en la relación de poder entre el responsable del tratamiento y el empleado, desaparecería y, por lo tanto, dicho consentimiento, entendemos que sería lícito.

Es decir, se daría una situación genuina donde el usuario voluntariamente decide registrarse en un sistema cerrado y seguro. Se produciría la autenticación o verificación de la identidad de una persona contra el patrón biométrico de esa misma persona almacenada dentro del sistema (que Europa no considera de alto riesgo) para poder utilizarlo posteriormente, bien para fichar o para acceder a su lugar de trabajo. Estos sistemas tienen implementadas medidas anti-suplantación, con patrones biométricos que, a través de un algoritmo propietario, se convierten en códigos binarios. Los patrones no guardan información alguna de privacidad, sólo un ID que se asocia a dicho patrón. Para aumentar el nivel de seguridad, se soporta encriptación adicional usando el estándar AES 256 bit, por lo que es, teóricamente, imposible reconstruir dichas imágenes (utilizando ingeniería inversa) a partir del patrón que guardamos y, llegar a la identidad de la persona desde dicho patrón, y mucho menos que sirva en otro sistema.

Por otro lado, el procesamiento de datos personales biométricos también estaría justificado en el acceso a áreas de alto riesgo donde se necesita asegurar la identidad de los autorizados y, donde ninguna alternativa sería adecuada para obtener el nivel de seguridad requerido en esa área. La biometría es la única tecnología que nos puede asegurar la identidad de un individuo, además de reducir el riesgo de fraude, la suplantación de identidad y falsificación de credenciales. También se justifica el uso de la biometría en situaciones en las que se debe proteger los derechos más fundamentales: la seguridad, la salud y la justicia.

El Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del GT29 establece que “se requiere una evaluación del equilibrio entre el interés legítimo del empresario de proteger su empresa y la expectativa razonable de privacidad de los trabajadores”. En colación, en el artículo 9.2 del RGPD, se explicitan otras excepciones previstas, por ejemplo, desde el punto de vista de la seguridad pública (infraestructuras e instalaciones que se consideran amenazadas – industrias estratégicas o de suministro: energía, productos químicos, agua…-), edificios con valor cultural, lugares donde se reúne mucha gente: estadios, centros comerciales, salas de conciertos… También por razones de interés público en el ámbito de la salud pública (como en el caso de la pandemia). Cuando el tratamiento de datos biométricos sea necesario para preparar o defenderse de cualquier tipo de reclamación legal (durante un juicio). Por lo tanto, la biometría se justifica en situaciones en las que se debe proteger los derechos más fundamentales: la seguridad, la salud y la justicia.