La huella biométrica es una característica única que puede derivarse de distintos rasgos físicos o conductuales de una persona, como la huella dactilar, el iris, el rostro o incluso el patrón de voz. Su uso ha pasado de ámbitos estrictamente de seguridad a sistemas de control de acceso, presencia y autenticación en entornos laborales y comerciales. Esta evolución plantea importantes desafíos en materia de privacidad y seguridad de los datos personales.
¿Qué es un dato biométrico y cómo se utiliza?
En virtud del artículo 4.14 del RGPD, los datos biométricos son aquellos “obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. El tratamiento de datos biométricos puede clasificarse en dos tipos:
- Identificación biométrica: Este tipo de identificación consiste en comparar una muestra biométrica con una base de datos de registros para identificar a una persona.
- Autenticación biométrica: Implica verificar que una muestra biométrica coincide con un registro almacenado de forma previa, confirmando la identidad del individuo.
La huella biométrica, como dato sensible, conlleva riesgos asociados a su uso indebido, tratamiento no autorizado o exposición. En consecuencia, el Reglamento General de Protección de Datos impone estrictas normas y salvaguardas para su tratamiento, con el fin de proteger los derechos y libertades de los individuos afectados.
Protección de datos biométricos en registros digitales
Los datos biométricos, incluidas las huellas biométricas, se consideran una categoría especial de datos personales según el artículo 9 del RGPD, lo que implica una protección reforzada. Por tanto, su tratamiento está prohibido salvo que concurra alguna de las excepciones previstas en dicho artículo.
Una de las excepciones más comunes es el consentimiento explícito del interesado. Sin embargo, en el ámbito laboral, el consentimiento es problemático debido al desequilibrio de poder entre empleador y empleado. Así lo reconoce la Agencia Española de Protección de Datos (AEPD), que considera que en estos contextos el consentimiento no es una base legal válida. Por tanto, el tratamiento de la huella biométrica en el entorno laboral solo puede justificarse mediante una norma con rango de ley que lo autorice expresamente.
Desde un punto de vista técnico, también es obligatorio implementar medidas de seguridad adecuadas. La AEPD subraya la necesidad de realizar una Evaluación de Impacto en la Protección de Datos (EIPD) antes de iniciar el tratamiento. Esta evaluación debe identificar los riesgos para los derechos de los interesados y definir las medidas necesarias para mitigarlos. Además, debe actualizarse periódicamente para asegurar que las medidas continúan siendo efectivas.
¿Cómo gestionar legalmente las huellas biométricas?
Para gestionar legalmente el tratamiento de las huellas biométricas, las entidades deben cumplir con una serie de requisitos establecidos en el RGPD, los cuales buscan asegurar que el tratamiento de estos datos personales sensibles se realice de forma adecuada y conforme a la normativa vigente.
En primer lugar, es imprescindible contar con una base legal adecuada que permita el tratamiento de los datos biométricos, conforme al artículo 9.1 del RGPD. Este artículo establece que, por principio, el tratamiento de datos biométricos está prohibido, a excepción de ciertas circunstancias específicas. Asimismo, antes de iniciar cualquier tratamiento de datos biométricos, las entidades deben llevar a cabo una Evaluación de Impacto en la Protección de Datos (EIPD).
El RGPD también exige que las entidades implementen medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto implica tomar en cuenta diversos factores, como el estado de la técnica disponible, los costes de implementación, la naturaleza y el alcance del tratamiento, el contexto en el que se realiza y los fines perseguidos. Las medidas de seguridad incluyen, entre otras, la implementación de sistemas de cifrado, controles de acceso restrictivos y procedimientos de auditoría para garantizar la integridad y la confidencialidad de los datos biométricos.
Además, las entidades deben garantizar la transparencia en el tratamiento de los datos biométricos. Los interesados deben ser informados de manera clara, comprensible y accesible sobre cómo se están tratando sus datos, incluyendo la finalidad del tratamiento, la base legal que lo justifica, los destinatarios de los datos y los plazos de conservación. Esta información debe ser proporcionada antes de que se inicie cualquier tratamiento de datos, para que los interesados puedan tomar decisiones informadas sobre su consentimiento y el ejercicio de sus derechos. Además, es necesario garantizar que los interesados puedan ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, de acuerdo con lo establecido en el RGPD.
Finalmente, las entidades deben establecer mecanismos de supervisión y auditoría para garantizar el cumplimiento continuo de las normativas establecidas por el RGPD. Esto implica realizar auditorías periódicas sobre el tratamiento de los datos biométricos, asegurando que las medidas de seguridad sean eficaces y que los derechos de los interesados sean respetados en todo momento. La supervisión continua es esencial para detectar posibles incumplimientos o brechas de seguridad, así como para adaptar las prácticas de tratamiento a los cambios normativos o tecnológicos.
¿Puede el empresario utilizar mi huella dactilar para controlar mi jornada laboral?
El uso de huellas biométricas para el control de la jornada laboral plantea importantes cuestiones legales y éticas. Tal como se ha mencionado, el tratamiento de datos biométricos en este contexto requiere una base legal específica que autorice expresamente su uso. Actualmente, la legislación española no contempla una autorización expresa para el tratamiento de datos biométricos con fines de control horario, lo que implica que su utilización en este contexto no está permitida.
La AEPD ha emitido resoluciones sancionadoras en las que se ha considerado que el uso de sistemas biométricos para el control de acceso o la jornada laboral, sin una base legal adecuada, constituye una infracción del RGPD. Por lo tanto, los empresarios no pueden utilizar la huella dactilar para controlar la jornada laboral de sus empleados sin una norma legal que lo autorice expresamente. El incumplimiento de esta normativa puede dar lugar a sanciones económicas y daños a la reputación de la empresa.
Recientemente, con fecha 23 de noviembre de 2023, la AEPD publicó la Guía sobre Tratamientos de Control de Presencia Mediante Sistemas Biométricos, que introduce un cambio de criterio relevante en relación con la interpretación y aplicación de las normas sobre el uso de datos biométricos en el ámbito laboral. Según esta guía, los datos biométricos, a diferencia de un número de DNI u otros identificadores, son directamente generados a partir de características físicas únicas e inalterables de cada individuo, lo que les otorga una naturaleza de alto riesgo en términos de tratamiento de datos personales.
La AEPD también recalca que, a pesar de la obligación legal de los empresarios de registrar la jornada laboral, no existe una normativa española suficiente que habilite el uso de datos biométricos para este fin. En consecuencia, aunque no se requiere el consentimiento para el registro horario, sí es necesario el consentimiento para el tratamiento adicional que suponen los datos biométricos, siempre y cuando se ofrezcan opciones equivalentes y menos intrusivas para el registro de la jornada.
El tratamiento de la huella biométrica implica retos significativos en cuanto a privacidad y derechos fundamentales. Aunque puede ser útil para la autenticación y control de acceso, su uso en el entorno laboral está sujeto a restricciones estrictas.
La normativa vigente exige una base legal clara, preferiblemente una norma con rango de ley, para legitimar su uso. El consentimiento, en este ámbito, no es suficiente. Además, deben aplicarse principios de proporcionalidad, minimización y transparencia, junto con medidas de seguridad sólidas.
Las empresas deben asegurarse de cumplir con estas exigencias legales y considerar alternativas menos intrusivas, protegiendo así los derechos de los trabajadores y evitando sanciones económicas o daños reputacionales.
