El 23 de noviembre, la AEPD publicó una guía sobre la utilización de datos biométricos para el control de presencia y acceso.
La Agencia Española de Protección de Datos (AEPD) ha lanzado la «Guía Tratamientos de control de presencia mediante sistemas biométricos». Este documento establece criterios para la utilización de datos biométricos en el control de acceso, tanto en entornos laborales como no laborales.
Los rápidos avances en los sistemas biométricos y el tratamiento de datos asociados han llevado a la AEPD a abordar la necesidad de establecer directrices específicas que se alineen con la normativa sobre protección de datos. Dichos sistemas son capaces de recopilar información muy detallada, incluso sin que la propia persona sea consciente.
El tratamiento de los datos biométricos es un proceso de alto riesgo, ya que involucra categorías especiales de datos. Según el RGPD, se requiere una justificación específica y una condición de legitimidad para tratar estas categorías.
Sobre el consentimiento para el tratamiento de los datos
En el control de acceso con fines laborales, la guía destaca la necesidad de una norma legal que autorice específicamente el uso de datos biométricos. Además, según la AEPD, el consentimiento no puede ser la base para determinar la legalidad del tratamiento. Esto se debe al desequilibrio entre la persona sometida al tratamiento y quien lo realiza. Fuera del ámbito laboral, el consentimiento tampoco es suficiente, el tratamiento sigue siendo de alto riesgo y no cumple con el requisito de necesidad.
La guía también impone restricciones en los tratamientos biométricos que toman decisiones automatizadas sin intervención humana, particularmente aquellas que tienen efectos legales o impactan significativamente a la persona.
En el caso de la captura de datos biométricos, la AEPD destaca la obligatoriedad de realizar una Evaluación de Impacto para la Protección de Datos, que incluya un triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Además, la guía proporciona un conjunto de medidas que deben implementarse si se cumplen todos los requisitos del RGPD, incluyendo la información adecuada a las personas, la posibilidad de revocar el vínculo de identidad, el cifrado para proteger la confidencialidad, y la supresión de datos biométricos no vinculados a su finalidad original.
A través de estas medidas, la AEPD busca equilibrar la innovación tecnológica con la protección de la privacidad, estableciendo un marco claro para la utilización de datos biométricos en el control de acceso y presencia.
Otras noticias de interés:
