La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la Guía Tratamientos de control de presencia mediante sistemas biométricos en la que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que hay que tener en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) entre otras normativas.
En esta Guía la AEPD cambia radicalmente el criterio que hasta ahora venía manteniendo en relación con la utilización de sistemas basados en la biometría (huella dactilar, iris, reconocimiento facial, etc) para el control de acceso, presencia y horario con fines laborales.
Ahora, la Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos.
Por ello para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
En el caso de registro de jornada y control de acceso con fines laborales el levantamiento de la prohibición no puede basarse en la actual normativa laboral que impone al empresario la obligación de ese control horario pues la norma no autorice específicamente utilizar datos biométricos para dicha finalidad.
Tampoco en este caso el consentimiento del trabajador puede levantar la prohibición ni ser la base para la licitud del tratamiento pues en el marco de las relaciones laborales se considera que dicho consentimiento no se presta libremente al existir una situación de desequilibrio entre el interesado y el responsable del tratamiento.
Además, la AEPD considera que existiendo otros medios por los que se puede registrar la jornada laboral y el control de acceso, la utilización de la biometría no supera el requisito de la necesidad para la finalidad del tratamiento e infringe el principio de minimización en el acceso a los datos personales, por lo que habrá que utilizar medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales.
Con la actual interpretación de la AEPD, cualquier empresa que utilice un sistema de reconocimiento biométrico para el registro de la jornada y el control de acceso de sus trabajadores puede ser sancionada. Por tanto, los sistemas basados en la huella digital, el reconocimiento facial o el iris deberían ser modificados optando por otros sistemas menos intrusivos como, por ejemplo, los sistemas de fichajes con clave de usuario y pin o utilización de tarjeta individual e intransferible.