¿Son los sistemas biométricos legales?
La nueva guía sobre el tratamiento del Control de Presencia con Sistemas Biométricos cuestiona la legalidad de los mismos
Si no se puede aplicar ni el consentimiento ni el interés público esencial, y el proceso automatizado no permite intervención humana para revertir decisiones, el uso de la autenticación biométrica en sistemas de control de presencia sería inviable según el RGPD.
Discute la necesidad de analizar la idoneidad, necesidad y proporcionalidad estricta del tratamiento biométrico, particularmente en relación con el consentimiento, destacando que, si existen opciones equivalentes al tratamiento biométrico, este último puede no ser necesario.
Este documento aborda los criterios para el control de presencia con sistemas biométricos según el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Destaca la rápida evolución de estos sistemas, su capacidad para recoger información sin cooperación explícita de las personas y la ampliación del tratamiento de datos a través de la inteligencia artificial. La normativa y el contexto tecnológico y social en constante cambio requieren límites y medidas para asegurar el cumplimiento del RGPD y futuras regulaciones sobre inteligencia artificial.
Se definen los sistemas biométricos como aquellos que procesan datos físicos, fisiológicos o conductuales de personas, incluyendo datos neuronales. El RGPD considera datos biométricos aquellos que permiten la identificación única de una persona. Se destaca la importancia de las plantillas biométricas, generadas a partir de datos biométricos y utilizadas para identificar, rastrear o perfilar a individuos.
El tratamiento de datos de control de presencia se realiza en dos contextos principales: el registro de jornada laboral y el control de acceso a recintos. Ambos deben cumplir con los principios del RGPD. El registro de jornada, regulado por el Real Decreto-Ley 8/2019, busca combatir la precariedad laboral mediante el registro diario de horarios. Por su parte, el control de acceso, fundamentado en la Ley del Estatuto de los Trabajadores, permite a los empleadores tomar medidas de vigilancia y control, siempre respetando la dignidad del trabajador.
Además de los usos laborales, existen situaciones donde el control de presencia es necesario para supervisar el acceso de usuarios o clientes a espacios o para la ejecución de contratos de servicios.
Este texto resalta la importancia de la protección de datos personales en el ámbito biométrico, enfatizando la necesidad de garantizar la privacidad y la seguridad de estos datos en un entorno donde la tecnología avanza rápidamente.
El principio de minimización, establecido en el artículo 5 del RGPD, subraya que los datos deben ser adecuados, pertinentes y limitados a lo estrictamente necesario para los fines del tratamiento. Es decir, se enfatiza que, si la finalidad puede alcanzarse de otras formas sin usar ciertos datos, entonces esos datos no deben ser tratados. Este principio se conecta con la consideración de los riesgos para los derechos y libertades de las personas físicas, tal como se destaca en el artículo 25 del RGPD.
En el contexto del control de presencia, se señala que el tratamiento de datos no debe ir más allá de lo necesario para lograr sus objetivos. Esta minimización no solo se aplica al uso de tecnología, sino que también se extiende a considerar recursos humanos, garantías legales y procedimientos organizativos como alternativas viables.
Se hace una distinción crítica sobre el uso de tecnologías biométricas. La disponibilidad de productos con una capacidad de recopilación de datos más allá de lo esencial para un tratamiento específico contradice el principio de minimización. A pesar de que la tecnología lo permita, el texto resalta que la justificación para usar esa tecnología debe ser examinada cuidadosamente. El responsable del tratamiento debe asegurarse de que la tecnología biométrica elegida se ajuste a las necesidades específicas del tratamiento y no recopile datos innecesarios, especialmente categorías especiales de datos, como se señala en el artículo 35 del RGPD.
El RGPD define «tratamiento» como cualquier operación realizada sobre datos personales, incluyendo una amplia gama de acciones, desde la recogida hasta la destrucción de datos. El objetivo principal del RGPD es proteger a las personas físicas en lo que respecta al tratamiento de sus datos y facilitar la libre circulación de esos datos.
El Tribunal de Justicia de la Unión Europea (TJUE) ha interpretado estos conceptos de manera amplia para garantizar una protección uniforme y elevada de las personas físicas dentro de la Unión Europea. La sentencia C-579/21, Pankki S, del TJUE, subraya la amplitud de la noción de «datos personales», abarcando información objetiva y subjetiva relacionada con una persona identificable.
En el contexto del control de presencia, el uso de la biometría se considera una técnica para implementar el tratamiento. El proceso de registro de jornada o control de acceso implica una serie de operaciones, desde la identificación del empleado hasta el almacenamiento y procesamiento de datos. Estas operaciones pueden realizarse mediante diversas tecnologías, incluyendo la biometría, como el reconocimiento facial, de huellas digitales o de voz.
La biometría se emplea en dos procesos principales: la identificación y la autenticación. La identificación busca reconocer a un individuo dentro de un grupo, mientras que la autenticación verifica la veracidad de la identidad reclamada. Estos procesos se llevan a cabo mediante la comparación de datos biométricos con una base de datos almacenada. Los datos biométricos recopilados en un tratamiento de control de presencia pueden ser utilizados para otros propósitos adicionales, como seguridad física o evaluación de rendimiento laboral. Sin embargo, el uso de estos datos para fines adicionales debe cumplir con los principios, derechos y obligaciones establecidos en el RGPD.
El RGPD, en su artículo 9.1, prohíbe el tratamiento de datos personales que revelen categorías especiales de datos, y dentro de estas se encuentran los datos biométricos utilizados para identificar inequívocamente a una persona física. El tratamiento de fotografías no es automáticamente considerado tratamiento de categorías especiales de datos, sino solo cuando el tratamiento con medios técnicos específicos permita la identificación o autenticación única de una persona.
Las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD) sostienen que tanto la autenticación como la identificación biométrica constituyen tratamientos de datos personales de categorías especiales. Esta interpretación afecta a anteriores enfoques, como el de la Agencia Española de Protección de Datos (AEPD) en su guía «La Protección de Datos en las Relaciones Laborales», así como en informes jurídicos anteriores basados en una interpretación pre-RGPD. Es importante resaltar que la consideración de categorías especiales de datos debe interpretarse ampliamente. El término «revelar» implica no solo datos con información sensible de manera inherente, sino también aquellos datos de los cuales se pueda deducir información sensible sobre una persona. Por ejemplo, la voz biométrica puede revelar información sobre la salud física o psicológica de un individuo.
El avance tecnológico permite extraer cada vez más detalles de los rasgos biométricos, y ciertas características biométricas podrían revelar información sensible, como el origen racial o étnico. Los sistemas biométricos, como el reconocimiento facial, pueden extraer información sobre la salud física o psicológica, y en algunos casos, incluso medir parámetros como la temperatura o la presión sanguínea a través de la huella dactilar.
El Reglamento General de Protección de Datos (RGPD) establece una protección especial para ciertas categorías de datos debido a su impacto en los derechos fundamentales. Sin embargo, el tratamiento de estas categorías solo se permite en circunstancias específicas, según el Artículo 9.2 del RGPD, y no se contempla en intereses legítimos o contratos.
La excepción del Artículo 9.2.b del RGPD permite el tratamiento cuando sea necesario para cumplir obligaciones laborales, pero requiere una base legal sólida, siendo fundamental que la normativa esté claramente definida y garantice los derechos fundamentales. El Tribunal Constitucional ha subrayado la importancia de una legislación clara para asegurar la seguridad jurídica y ha enfatizado la necesidad de previsibilidad y certeza en las restricciones a los derechos fundamentales.
El tratamiento de datos biométricos para el control de jornada laboral debe cumplir con la necesidad, idoneidad y proporcionalidad, justificando por qué otros métodos no son viables. Además, se requiere el consentimiento explícito del individuo, pero en contextos laborales, existe un desequilibrio de poder que dificulta que el consentimiento sea libre. Por tanto, se necesita demostrar que el consentimiento se ha otorgado de manera genuina y libre de presiones. Similarmente, en el control de acceso no laboral, se debe garantizar la alternativa y la necesidad del tratamiento biométrico.
El Reglamento General de Protección de Datos (RGPD) establece restricciones específicas sobre el tratamiento de datos biométricos debido a su sensibilidad. Si bien el RGPD permite excepciones para ciertos tratamientos, como el registro de jornada laboral, se deben cumplir estrictamente las bases legales para justificar el uso de datos biométricos. El registro de jornada, una obligación legal para empleadores y empleados puede justificar el tratamiento de datos biométricos si se respalda por normativas con rango de ley.
La falta de una normativa adecuada y clara que justifique el uso de datos biométricos bajo las excepciones del RGPD puede invalidar dicho tratamiento. Además, si se considera el consentimiento como base legal, deben existir alternativas menos intrusivas para los individuos y el tratamiento debe ser necesario para la finalidad perseguida.
El artículo 22 del RGPD establece regulaciones para procesos automatizados que impacten significativamente los derechos de los individuos. En particular, un sistema automatizado de control de presencia basado en datos biométricos puede tener consecuencias legales sobre los individuos, como denegar acceso a lugares o servicios, afectando directamente a la persona.
El RGPD prohíbe el uso de categorías especiales de datos en tales procesos automatizados, a menos que se base en el consentimiento explícito del individuo o en un interés público esencial. Además, se deben tomar medidas para proteger los derechos de las personas, incluyendo el derecho a la intervención humana, a expresar su opinión y a impugnar decisiones.
Si no se puede aplicar ni el consentimiento ni el interés público esencial, y el proceso automatizado no permite intervención humana para revertir decisiones, el uso de la autenticación biométrica en sistemas de control de presencia sería inviable según el RGPD. Este enfoque busca garantizar la protección de los individuos frente a decisiones automatizadas que podrían afectar sus derechos sin posibilidad de revisión o intervención humana.
La sección VIII sobre Gestión del Riesgo y Evaluación de Impacto para la Protección de Datos (EIPD):
- Subraya la necesidad de realizar una gestión del riesgo y aplicar medidas técnicas y organizativas adecuadas antes de implementar un sistema de control de presencia basado en sistemas biométricos para garantizar el cumplimiento del RGPD.
- Define un tratamiento de alto riesgo como aquel que, por su naturaleza, alcance o uso de nuevas tecnologías, puede afectar significativamente los derechos individuales. Se establece que los tratamientos que incluyen procesos biométricos son considerados de alto riesgo.
- La Evaluación de Impacto para la Protección de Datos (EIPD) es necesaria para los tratamientos de alto riesgo y debe demostrar la idoneidad, necesidad y proporcionalidad del tratamiento, además de gestionar específicamente los riesgos asociados.
- Detalla varias orientaciones y modelos proporcionados por la Agencia Española de Protección de Datos para llevar a cabo y documentar la EIPD, así como guías sobre privacidad y protección de datos.
- Enfatiza la importancia de establecer medidas mínimas por defecto al implementar tratamientos biométricos, incluyendo informar a los sujetos de los datos, posibilidad de revocar la identificación biométrica, cifrado de datos, entre otros aspectos.
- Discute la necesidad de analizar la idoneidad, necesidad y proporcionalidad estricta del tratamiento biométrico, particularmente en relación con el consentimiento, destacando que, si existen opciones equivalentes al tratamiento biométrico, este último puede no ser necesario.
- Se advierte sobre posibles brechas de datos personales en el contexto de los sistemas biométricos y se destaca la importancia de anticipar y mitigar posibles riesgos y violaciones de la privacidad.
En resumen, se subraya la importancia de evaluar rigurosamente los riesgos asociados con los tratamientos de datos biométricos, implementando medidas y controles adecuados para garantizar la conformidad con el RGPD y minimizar el impacto en los derechos individuales.
La sección IX sobre subcontratación de trabajadores:
- Establece que, si un contratante exige sistemas biométricos para un posible control de acceso mediante contrato, esta exigencia debe cumplir con las disposiciones del RGPD según lo establecido en el documento.
- Si la empresa contratada desempeña el papel de encargado del tratamiento, debe cumplir con la obligación establecida en el artículo 28.3 del RGPD, que implica informar al responsable si considera que alguna instrucción viola el Reglamento o las disposiciones de protección de datos de la Unión o de los Estados miembros.
- Si las condiciones de cumplimiento del RGPD no se respetan, la empresa contratada no está obligada a implementar técnicas biométricas para el registro de jornada o control de acceso en el ámbito laboral.
Resumen de las Conclusiones
- El uso de tecnologías biométricas para el control de presencia implica un tratamiento de alto riesgo que incluye categorías especiales de datos.
- En la implementación del tratamiento, se deben cumplir los principios de minimización y protección de datos desde el diseño y por defecto, utilizando medidas menos intrusivas y tratando la menor cantidad posible de datos.
- Es necesario contar con una circunstancia que levante la prohibición de tratar categorías especiales de datos y una condición que legitime el tratamiento.
- El consentimiento no puede ser la base para levantar la prohibición del tratamiento en el ámbito laboral, y debe existir una norma con rango de ley para utilizar datos biométricos.
- No se pueden tomar decisiones automatizadas basadas en procesos biométricos sin intervención humana, a menos que exista un interés público esencial y se cumplan requisitos específicos.
- La implementación de sistemas biométricos con inteligencia artificial debe cumplir con las restricciones establecidas en la normativa de inteligencia artificial.
- Se requiere superar favorablemente una Evaluación de Impacto para la Protección de Datos, que documente la superación del análisis de idoneidad, necesidad y proporcionalidad.
- En la implementación práctica del tratamiento, deben implementarse garantías organizativas, técnicas y jurídicas, incluyendo medidas por defecto como la información a los trabajadores, la posibilidad de revocar el vínculo de identidad, el uso de cifrado, entre otras.
- Medidas recomendables para minimizar el riesgo incluyen el uso de tecnologías biométricas en dispositivos bajo el control exclusivo de los usuarios, la toma consciente de datos biométricos, y evitar el almacenamiento centralizado de plantillas biométricas.
- Todas las acciones y medidas implementadas se revisarán y actualizarán según sea necesario.