De acuerdo con lo dispuesto en el artículo 4.14 del Reglamento General de Protección de Datos (en adelante, RGPD), se definen los datos biométricos como “aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Artículo 9 del RGPD – Tratamiento de categorías especiales de datos
Gracias al artículo 9 del RGPD, que regula el tratamiento de categorías especiales de datos, observamos que se prohíbe el tratamiento de datos personales, entre otros, que revelen el origen étnico o racial, opiniones políticas, creencias religiosas, así como los datos biométricos.
Como consecuencia de lo anterior, a priori se podría considerar que todos los tratamientos de datos derivados de la utilización de sistemas de fichaje basados en lectura de huella dactilar encajarían en todo caso en esta categoría de datos biométricos.
No obstante, hay que resaltar que el RGPD no categoriza a todo tratamiento de datos biométricos como tratamiento de datos especialmente protegidos, ya que el artículo 9.1 específica claramente que se trata únicamente de aquellos datos biométricos que se encuentren destinados a “identificar de manera unívoca a una persona física”.
De lo anterior se deriva que los datos biométricos únicamente constituirían una categoría especial de datos en el caso de que los mismos sean sometidos a un tratamiento técnico específico destinado a esta identificación de manera unívoca de los interesados.
¿Qué es la Identificación y la autenticación biométricas?
Para ahondar en esta conceptualización procede distinguir entre los supuestos de identificación biométrica de los supuestos de verificación o autenticación biométrica.
- La identificación consiste en reconocer a un individuo entre un grupo, realizando una comparación de los datos relativos al individuo que se desea identificar con los datos de cada individuo en el grupo (uno-a-varios).
- La verificación o autenticación es el proceso de probar como cierta la identidad del individuo, comparando únicamente los datos del individuo con los datos asociados a esta identidad que se reclama (uno-a-uno).
Por tanto, ¿sería legítima la implantación de un sistema de reconocimiento de huella dactilar basado en un proceso de identificación (de uno a varios)? En principio, no.
Tal y como establece la legislación aplicable en materia de protección de datos, todo tratamiento de datos personales que se precie ha de superar el correspondiente juicio de necesidad y proporcionalidad. Es decir, antes de implantar un sistema de reconocimiento de huella dactilar, el responsable de tratamiento deberá valorar si existe otro sistema menos intrusivo con el que conseguir la misma finalidad.
Sanciones por implantación de Sistema de huella sin previa Evaluación de Impacto
Cabe ahora hacer mención de que el pasado año, la AEPD impuso una sanción de 20.000 euros a una empresa de transporte y montaje de piezas de vehículos automóviles, por implantar un sistema de control presencial de los trabajadores a través de un sistema de huella dactilar sin haber realizado previamente una Evaluación de Impacto en la Protección de los Datos Personales (EIPD).
Pues bien, precisamente este juicio de necesidad y proporcionalidad forma parte de la mencionada Evaluación de Impacto y a tales efectos la AEPD indicaba que a la hora de realizar dicho análisis de necesidad y proporcionalidad se debería tener en cuenta que, de cara a que ese sistema fuese legítimo, debía demostrarse que era absolutamente necesario para cumplir con la finalidad que se pretendía y no únicamente el más rentable o adecuado, dado que existiendo sistemas menos invasivos para la privacidad de los interesados, se debía optar por éstos últimos.
Resulta evidente concluir entonces que existiendo sistemas de huella dactilar que emplean mecanismos de verificación, resulta francamente complicado justificar la necesidad de emplear sistemas de huella considerados como sistemas biométricos.
Asimismo, y apoyando la postura que se viene defendiendo a lo largo de este artículo, la AEPD publicó, con fecha 18 de mayo de 2021, la guía de “La protección de datos en las relaciones laborales” en el que, entre otras cuestiones, se incluye un apartado relativo a estos sistemas de identificación biométrica. En este sentido y en caso de que se traten datos biométricos, la autoridad de control española recomienda claramente a las empresas optar por aquellos sistemas de verificación o autenticación biométrica, “siendo aconsejable que los sistemas biométricos se basen en la lectura de los datos biométricos almacenados como plantillas cifradas en soportes que sean conservados exclusivamente por los trabajadores”
¿Cómo podemos ayudarte?
Desde GlobalSuite Solutions podemos apoyarte en la gestión del riesgo y en la realización de Evaluaciones de Impacto en Protección de Datos, consiguiendo que tu Sistema de Gestión esté perfectamente integrado con un software como GlobalSuite® Privacy Data Protection. Esto te supondrá los siguientes beneficios:
- Centralizarás tus protocolos de tratamiento de los datos personales y su conservación, determinando las bases legítimas
- Ahorrarás tiempo y utilizarás menos recursos con el uso del software, obteniendo mejores resultados y su consolidación.
- Conseguirás optimizar la realización de los procesos referentes a la Protección de Datos.
- Obtendrás mayor eficiencia en la realización de los análisis de riesgos y en las evaluaciones de impacto, que si lo realizases utilizando los medios tradicionales.