Guía para el tratamiento de datos biométricos – Ejemplos y obligaciones

Guía para el tratamiento de datos biométricos – Ejemplos y obligaciones
octubre 23, 2019| Protección de datos

Los «datos biométricos RGPD» se incorporan a nuestro marco jurídico de la mano del «Reglamento General de Protección de Datos», cuyo tratamiento no se encontraba regulado en la normativa anterior.

¿Qué son los datos biométricos RGPD?

​Este tipo de datos queda definido como:

✓ Artículo 4.14 RGPD: son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Los «datos biométricos RGPD» quedan incluidos en las categorías especiales de datos del artículo 9 del RGPD, derivando en diferentes obligaciones que deben acatar los responsables del tratamiento. La primera de las consideraciones legales es que tal tratamiento está, por defecto, limitado a supuestos específicos. No obstante, el mismo artículo establece que el responsable podrá tratar este tipo de datos cuando:

 

  • El interesado haya dado su consentimiento explícito – reforzado – para el tratamiento de dichos datos personales.
  • El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del «Derecho laboral y de la seguridad y protección social».
  • El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
  • El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos.
  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • El tratamiento es necesario por razones de un interés público esencial.
  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

☑ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.

☛ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.

Registro de jornada y control de acceso

En mayo de 2019, entró en vigor la obligación de registrar las horas efectivamente trabajadas por los empleados. La Ley permitió libertad en la implantación del sistema, debiendo, el empleador, escoger el mas pertinente. Uno de estos sistemas es el sistema de fichaje mediante huella dactilar de los trabajadores, mediante el cual se tratarán «datos biométricos RGPD».

Este tratamiento puede considerarse amparado por una obligación legal artículo 34.9 del «Estatuto de los Trabajadores». No obstante, la existencia de una lícita condición para el tratamiento de los datos de los empleados, sin necesidad del consentimiento de los trabajadores, no excluye el deber de las empresas de informar a los mismos de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.

A esta obligación de informar, se le añade la necesidad de llevar a cabo un análisis de  proporcionalidad del tratamiento. Podría, además, facilitarse una alternativa al registro de sus «datos biométricos RGPD» como puede ser un sistema a través de tarjeta o PIN. En efecto, la facultad del trabajador de elegir el método de registro debería considerarse como proporcional y menos intrusivo. El reconocimiento de huella de trabajadores, para control de acceso y registro de la jornada, siendo la única modalidad aportada por el empleador, debe considerarse, probablemente, que se tratan los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas.

Reconocimiento facial

A mediados de septiembre, los medios de comunicación señalaron la práctica que estaba realizando un instituto de Badalona, tratando los «datos biométricos RGPD» de los alumnos para controlar su asistencia a clase.

Este mismo tratamiento fue realizado en una escuela de Suecia para la misma finalidad, el control de asistencia. La escuela sueca ha tratado «datos biométricos RGPD», considerados como sensibles, de un modo no adecuado y sin realizar una evaluación de impacto pertinente. Este tratamiento estaba basado en un mero consentimiento, pero la Autoridad de control sueca consideraba que no era proporcionado al haber un desequilibrio entre el Centro educativo y los interesados – el consentimiento no era libre-.

Por ello, la escuela sueca recibió una sanción de 20 000 euros, debido a que la «Ley sueca de protección de datos» permite sancionar económicamente a las autoridades y organismos públicos, a diferencia de la LOPDGDD que únicamente contempla un apercibimiento.

Debe señalarse que la «Autoritat Catalana de Protecció de Dades» (autoridad de control para el sector público catalán) investigará la práctica que está realizando tal instituto.

Recomendaciones

El tratamiento de «datos biométricos RGPD» es un tratamiento de categorías especiales de datos, con lo que el responsable se enfrenta a un escenario de riesgo elevado al realizar tal actividad. La AEPD ya señaló en su lista de tratamientos que requieren evaluación de impacto un punto referido a los Tratamientos que impliquen el uso de «datos biométricos», con el propósito de identificar de manera única a una persona física.  Debido al alto riesgo que deriva del tratamiento de ellos, resulta muy recomendable – y obligatorio si el tratamiento se le añaden otros supuestos de la misma lista – la realización de una Evaluación de Impacto.  Del resultado de este análisis, debemos señalar si resulta adecuado el tratamiento de «datos biométricos RGPD» a las finalidades que estamos buscando. En caso contrario, el tratamiento no resultaría proporcionado. Igualmente, cada responsable deberá valorar cada caso concreto y decidir si implantar una actividad que conlleve el tratamiento de «datos biométricos». Desde «Grupo Adaptalia» le ayudaremos a realizar tal valoración, pudiendo consultarnos cualquier duda legal acerca del tratamiento de este tipo de datos.

✔ Apreciado lector, ¡gracias por su visita!

Suscribete a nuestra Newsletter