La AEPD publicó a finales del mes de noviembre una nueva Guía sobre Tratamientos de control de presencia mediante sistemas biométricos, un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el RGPD entre otras normativas.
¿Qué son los datos biométricos? Los sistemas de procesamiento de datos biométricos se basan en recoger y procesar datos personales relativos a las características físicas, fisiológicas o conductuales de las personas físicas, entre las que cabe incluir, las características neuronales de estas, mediante dispositivos o sensores, creando plantillas biométricas (también denominadas firmas o patrones) que posibilitan la identificación,
seguimiento o perfilado de dichas personas (esto es, “tratar”, art. 4.2 del RGPD).
El RGPD define el art.4 .14 datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Identificar a una persona, como resulta de dicho precepto, es determinar la identidad, directa o indirectamente, de la persona. Asignar un identificador es, pues, un proceso que permite singularizar a un individuo y, por tanto, las acciones dirigidas a él. En particular, entre otros medios posibles, a través de “elementos propios de la identidad física, fisiológica, genética, psíquica”. En ese sentido, un tratamiento que permite singularizar a una persona entre varias utilizando, por ejemplo, un proceso de análisis biométrico conductual que diferencia y señala unívocamente a una persona, es un tratamiento de identificación.
El control de presencia y el registro de jornada.
El control de presencia es un tratamiento que puede servir para la consecución de distintas finalidades, y está sometido al efectivo cumplimiento de la normativa de protección de datos y sin perjuicio de las especificidades previstas en la norma para cada uno de los supuestos, en atención a la normativa a aplicar en cada caso.
Por un lado, el registro de jornada es un tratamiento de control de presencia que se encontraría enmarcado dentro de una relación laboral, con la finalidad de controlar el desenvolvimiento de la misma. Por otro, el control de acceso es un tratamiento de control de presencia que se encontraría vinculado a la finalidad de supervisar la entrada y/o salida a determinados recintos. Este último puede realizarse o no, dentro del ámbito laboral y con finalidades laborales. Ambos, en cuanto tratamiento de datos personales, tiene que cumplir en todo caso con los principios, derechos y obligaciones establecidos en el RGPD. El hecho de implementarlos mediante un sistema biométrico implica, además, consideraciones adicionales para el cumplimiento del RGPD.
En relación al registro de jornada, el Real Decreto-Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo establece en su Capítulo III “Medidas de lucha contra la precariedad laboral en la jornada de trabajo”, y en su art. 10 regula el registro de jornada como forma de combatir la precariedad laboral, mediante una modificación del art. 34 del texto refundido de la Ley del Estatuto de los Trabajadores (en adelante ET), aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, añadiendo un nuevo apartado 9, con la siguiente redacción:
«9. La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo. Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de presencia.
La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.»
Como se especifica en el apartado V de la Exposición de motivos del citado Real Decreto Ley 8/2019, el propósito de la obligación establecida tiene como objetivo garantizar el cumplimiento de los límites en materia de jornada, crear un marco de seguridad jurídica tanto para las personas trabajadoras como para las empresas y posibilitar el control por parte de la Inspección de Trabajo y Seguridad Social, como medio para corregir la situación de precariedad, bajos salarios y pobreza que afecta a muchos de los trabajadores que sufren
los abusos en su jornada laboral.
En relación con el control de acceso con fines laborales, éste se suele fundamentar en la previsión contenida en el art. 20.3 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, que establece que:
“3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad”.
Con independencia de la obligatoriedad del registro de jornada o del control de acceso con fines laborales, existen casos en los que también resulta preciso realizar un control de presencia que no necesariamente tiene que ver con una relación laboral. En esta situación, lo que se pretende es la consecución de una finalidad distinta que consiste en una supervisión de acceso de usuarios o clientes a determinados recintos o espacios, o bien que sea necesario para la ejecución de un contrato de, por ejemplo, disfrute de determinados
servicios.
Minimización de datos.
Uno de los principios del RGPD es el principio de minimización que establece en el art. 5 apartado 1 letra c que los datos serán: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los
que son tratados («minimización de datos»);”
El considerando 39 explica muy claramente que unos datos que no son necesarios para cumplir con la finalidad del tratamiento no deben ser tratados: “…Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios…” Los datos que se traten han de ser limitados a lo necesario para conseguir los fines del tratamiento. En el caso que nos ocupa, la finalidad de un tratamiento de control de presencia no es tratar datos biométricos.
La aplicación de este principio se extiende, tanto a la obligación tener en cuenta la condición de necesidad, como también la tener en consideración (art. 24.1 RGPD) los riesgos para los derechos y libertades de las personas físicas, como se establece en el art. 25 apartado 1 del RGPD: 1.Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
Atendiendo a lo establecido en los artículos 5.1.c y 25.1, en un tratamiento de control de presencia deben tratarse exclusivamente los datos necesarios para la consecución de dichos fines y no más de los necesarios. Así mismo, hay que aplicar dicha minimización cuando el tratamiento, entre otros y como sucede cuando hay involucrados sistemas biométricos, implique un riesgo para los derechos y libertades de las personas físicas.
Por lo tanto, hay que justificar la necesidad de un tratamiento adicional de datos cuando las mismas finalidades se han estado alcanzando y se pueden alcanzar con otro tipo de implementación del tratamiento de registro de jornada equivalente y menos intrusivo.
Los distintos productos disponibles en el mercado para la recogida de datos biométricos que registran dichos datos con una precisión, detalle o frecuencia que están muy por encima de las necesidades de un determinado tratamiento específico, vulneran el principio de minimización.
En muchos casos, simplemente porque la tecnología lo permite y es asequible, estos productos recogen mucha más información de la que es realmente necesaria para la finalidad del tratamiento, o con mucho más detalle. El hecho de que una tecnología permita extraer más información de la imprescindible para la finalidad del tratamiento no justifica su utilización. En la selección de las tecnologías para la implementación de las operaciones del tratamiento se habrá de seguir el principio de minimización de datos (art.5.1.c) RGPD), que
determina que los datos personales habrán de ser sólo los adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, de forma que los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios (considerando 39). Incluso si está plenamente justificado y legitimado el uso de operaciones biométricas y el levantamiento de la prohibición de tratar categorías especiales de datos (art. 9.1 RGPD), cuando el responsable elige una
determinada tecnología biométrica para implementar el tratamiento de control de presencia, tiene que aplicar el principio de minimización de datos desde el diseño (art. 25.1 RGPD), para ello seleccionar y/o configurar el sistema para adecuarlo a las necesidades concretas del tratamiento, y evaluar o conseguir una evaluación de forma objetiva cuyo resultado sea que no hay recogida de datos innecesarios para cumplir el propósito del tratamiento, en particular, categorías especiales de datos (art. 35 RGPD).
Por lo tanto, en sistemas biométricos para el control de presencia hay que realizar una evaluación objetiva de si se están recogiendo datos excesivos para la finalidad del tratamiento.
Conclusiones de la Guía de la AEPD:
Con relación al tratamiento de control de presencia mediante técnicas biométricas de identificación o autenticación, los responsables del tratamiento han de tener en cuenta que:
• La utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo que incluye categorías especiales de datos.
• En la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales.
• Es necesario que exista una circunstancia para levantar la prohibición de tratar las categorías especiales de datos y, además, una condición que legitime el tratamiento.
En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad
de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española.
En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento.
Para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición según el art.9.2 del RGPD. El consentimiento tampoco lo podrá ser, al resultar un
tratamiento de alto riesgo, y que tendría que superar el requisito de necesidad establecido para dichos tratamientos.
• Cualquier utilización de los datos biométricos con finalidades adicionales a la de control de presencia deberá tener sus propias circunstancias de levantamiento de la prohibición y de condiciones que lo legitimen.
• En el tratamiento de control de presencia, no se pueden tomar decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar basadas en el proceso biométrico, si no se cumple la circunstancia de un interés público esencial basado
en una norma con rango de ley, proporcional al objetivo perseguido, que respete en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
• En el caso de que el sistema biométrico se implemente con técnicas de
inteligencia artificial, para poder incluirlos en un tratamiento se deberán tener en
cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa
de inteligencia artificial.
• En cualquier caso, será obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.
• Superados todos los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas de identificación o autenticación, deben implementarse garantías organizativas, técnicas y jurídicas. En particular, al menos han de estar
presentes las siguientes medidas por defecto:
Informar a los trabajadores, o personas si no se está en un entorno laboral, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no ha posibilidad de revelar categorías especiales de datos adicionales.
En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el art. 91 de la LOPDGDD.
• Entre las medidas recomendables para minimizar el riesgo se encuentran:
La utilización de tecnologías biométricas debería basarse en utilizar dispositivos bajo el control exclusivo de los usuarios.
Es recomendable que la toma de los datos se realice de forma consciente
por el individuo, e incluso con la exigencia de una acción positiva para iniciar el procesamiento de datos biométricos
Preferentemente no debería emplearse un almacenamiento centralizado de las plantillas biométricas.
Deberían implementarse mecanismos automatizados de supresión de datos.
• Finalmente, todas las acciones y las medidas implementadas se revisarán y actualizarán cuando sea necesario.
