LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 07:13:32

LegalToday

Por y para profesionales del Derecho

RGPD: uso de huella dactilar biométrica en el ámbito laboral

socia de IT & Privacy de ECIJA

El artículo 9.1 del RGPD prohíbe el tratamiento de datos personales que revelen datos biométricos dirigidos a identificar de manera unívoca a una persona física. Varias autoridades de control se han manifestado sobre el uso de datos biométricos en el ámbito laboral.

Es habitual la implantación y uso de sistemas que incluyen la identificación a través de huella dactilar. Estos procesos tienen un impacto específico en el cumplimiento de la normativa de protección de datos personales por entidades, por sus particulares requisitos. Además, los organismos de control ya se han manifestado sobre los mismos.

Una mano

Una de las novedades del Reglamento (UE) 2016/679 del Parlamento y Consejo Europeo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (más conocido como RGPD o GDPR), es la inclusión expresa del dato biométrico como dato personal con su categoría especial, o dato de especial sensibilidad.

El artículo 4.14 del RGPD incluye la definición de dato biométrico. Y las claves de especial sensibilidad se reflejan en «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos>>.

El artículo 9.1 del RGPD, en cuanto al tratamiento de categorías especiales de datos, regula que queda prohibido el tratamiento de datos personales que revelen datos biométricos dirigidos a identificar de manera unívoca a una persona física. En su punto 2 muestra las excepciones previstas para la prohibición de su tratamiento, e indica que los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, biométricos o relativos a la salud.

La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD) no incluye regulación específica de los datos biométricos, aunque en los artículos 87, 89 y 90 contiene la previsión de las condiciones y garantías en los que puede realizarse el control de los trabajadores, utilizando los dispositivos digitales, de videovigilancia y de geolocalización en el ámbito laboral. Sin embargo, no contienen referencias a utilizar datos biométricos en sistemas de control laboralmente.

Varias autoridades de control, como el Garante italiano, la CNIL francesa y la Autoridad Catalana de Protección de Datos, se han manifestado sobre el uso de datos biométricos en el ámbito laboral, donde se habilitaba este tipo de tratamientos.

Criterios esenciales

Para el cumplimiento del RGPD, los criterios esenciales establecidos son los siguientes:

  • Cuándo proteger los intereses legítimos de empresarios, empleados o terceros.
  • Solo si no hay otros medios menos intrusivos disponibles.
  • Solo si se acompaña de las garantías adecuadas.
  • Debe basarse en métodos científicamente reconocidos. 
  • Debe estar sujeto a los requisitos de estricta seguridad y proporcionalidad.

Con carácter previo a la decisión sobre la puesta en marcha de un sistema de control, de conformidad con el art. 35 RGPD, se deberán tener en cuenta las implicaciones de la tecnología empleada, la observación sistemática de los hábitos de los trabajadores y el tratamiento de datos de una categoría especial (biométricos). La evaluación del impacto donde se evalúe la legitimidad del tratamiento y su proporcionalidad es necesaria, con el fin de determinar riesgos existentes y medidas para mitigarlos. Así, en el uso de esta tipología de datos biométricos para control horario, deberá evaluarse la necesidad de la implantación de este tipo de controles, así como la existencia de otros sistemas de control que, sin utilizar esta categoría de datos especialmente protegidos, permitan alcanzar el mismo fin.

La Agencia Catalana de Protección de Datos (APDCAT) indica que no se puede concluir de manera automática la legitimidad de la implantación de un sistema de control horario basado en la recogida de este tipo de datos. Se requiere la realización de una evaluación del impacto a la vista de las circunstancias concretas en que se lleve a cabo el tratamiento, determinando su legitimidad y proporcionalidad, incluyendo el análisis de la existencia de alternativas menos intrusivas. En el caso analizado, ante la ausencia de justificación de la imposibilidad de utilización de otros sistemas menos intrusivos, se establece que no se podría concluir la proporcionalidad de la utilización de la huella dactilar para establecer un sistema de control horario.

La APDCAT establece la utilización de la huella dactilar para controlar el acceso a determinadas dependencias que requieran una mayor seguridad, justificando su uso e implantación en cuanto a la necesidad de aplicar sistemas de control de acceso robustos para el acceso a determinadas instalaciones críticas con información sensible. Sin embargo, tampoco se puede concluir de manera automática la justificación de la medida, realizando previamente su implantación con la evaluación de impacto.

Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas
de vista a Actualidad Jurídica Aranzadi

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.