Con el desarrollo de la inteligencia artificial y la constante evolución de las nuevas tecnologías, se ha detectado que a través de estos sistemas se recogen, en muchas ocasiones, más datos personales de los esperados, sin que los interesados sean conscientes de ello ni de su alcance.
Lo mismo ocurre con los sistemas biométricos utilizados en el entorno laboral para el control de la jornada o para el control de accesos, a través de los cuales se tratan datos biométricos como la huella dactilar o el reconocimiento facial, entre otros, tratamientos que pueden implicar riesgos respecto de los derechos y libertades de los empleados.
A consecuencia de ello y con el afán de garantizar el efectivo cumplimiento de la normativa de Protección de Datos en el entorno laboral, la Agencia Española de Protección de Datos (AEPD) ha publicado la Guía “Tratamiento de control de presencia mediante sistemas biométricos”, que pretende adaptarse a las directrices del Comité Europeo de Protección de Datos. El documento supone un cambio de criterio sustancial por parte de la AEPD, ya que expone nuevas condiciones y prohibiciones respecto al uso de sistemas biométricos en el entorno de trabajo que afectan de modo significativo a todas las empresas.
Es importante mencionar que los datos biométricos son datos de categorías especiales y que requieren de una observancia adicional. Asimismo, no debemos olvidar que de manera general su tratamiento está prohibido, salvo que nos encontremos ante alguna de las excepciones tasadas por la normativa vigente de Protección de Datos, como puede ser el cumplimiento de una obligación legal o el consentimiento del interesado, circunstancias que podrían levantar la prohibición y podrían suponer una condición de legitimación del tratamiento.
Autenticación e identificación (biométricas)
Una de las principales modificaciones al respecto es la equiparación de la “autenticación biométrica” y la “identificación biométrica”. Con anterioridad, la AEPD diferenciaba aquellos sistemas biométricos que se limitaban a autenticar los rasgos de una persona previamente ya identificada, considerando que no suponían el tratamiento de datos biométricos. Por esta razón, su tratamiento no quedaba prohibido y muchas empresas decidieron invertir en sistemas biométricos de control de la jornada laboral mediante autenticación, asegurándose así de un efectivo control de la jornada.
Sin embargo, en la actualidad, este cambio de criterio hace muy complejo el uso de estos sistemas, sin vulnerar la normativa de Protección de Datos, así como las directrices de la Autoridad de Control.
Obligación legal
Si bien es cierto que, el control de la jornada laboral es una obligación legal para todas las empresas, la AEPD considera que la norma no concreta la autorización ni la obligatoriedad de utilizar específicamente datos biométricos. Además, el tratamiento de estos datos debe ser necesario para el cumplimiento de esta obligación legal, por lo que, la empresa debería de ser capaz de justificar que no existen otros medios iguales de efectivos, pero menos intrusivos para los empleados. No obstante lo anterior, en caso de que existiera un convenio colectivo aplicable que indicara la posibilidad de tratar datos biométricos, en ese caso concreto, debería realizarse una Evaluación de Impacto de Protección de datos, la cual debería ser favorable.
Consentimiento
Pero ¿sería posible tratar la huella dactilar de los empleados en base a su consentimiento? La AEPD considera que no, ya que existe una relación de dependencia y un desequilibrio de poder entre el empleado y el empleador, por lo que el empleado se encuentra en una situación de vulnerabilidad, no pudiendo ser el consentimiento libre, requisito indispensable para su validez.
Finalidades del tratamiento
En cuanto a las finalidades del tratamiento de estos datos, no debemos olvidar que este cambio de criterio no solo aplica al uso de datos biométricos con la finalidad de llevar a cabo el registro de la jornada laboral, sino también para el control de accesos, tanto con fines laborales como no laborales.
Conclusiones
En definitiva, teniendo en cuenta el reciente cambio de criterio de la Autoridad de Control que hace prácticamente imposible la utilización de tecnologías biométricas en el ámbito laboral sin vulnerar la normativa vigente de Protección de Datos, y que no se ha concedido un periodo de gracia para que las empresas puedan adaptarse a dichos cambios, recomendamos que siempre que sea posible técnicamente, con la finalidad de evitar cualquier tipo de controversia futura, se detenga el uso de este tipo de sistemas biométricos, se sustituyan por métodos equivalentes y, de forma paralela, se lleve a cabo una nueva Evaluación de Impacto de Protección de Datos, que incluya el triple juicio de idoneidad, necesidad y proporcionalidad.
Con el desarrollo de la inteligencia artificial y la constante evolución de las nuevas tecnologías, se ha detectado que a través de estos sistemas se recogen, en muchas ocasiones, más datos personales de los esperados, sin que los interesados sean conscientes de ello ni de su alcance.
Lo mismo ocurre con los sistemas biométricos utilizados en el entorno laboral para el control de la jornada o para el control de accesos, a través de los cuales se tratan datos biométricos como la huella dactilar o el reconocimiento facial, entre otros, tratamientos que pueden implicar riesgos respecto de los derechos y libertades de los empleados.
A consecuencia de ello y con el afán de garantizar el efectivo cumplimiento de la normativa de Protección de Datos en el entorno laboral, la Agencia Española de Protección de Datos (AEPD) ha publicado la Guía “Tratamiento de control de presencia mediante sistemas biométricos”, que pretende adaptarse a las directrices del Comité Europeo de Protección de Datos. El documento supone un cambio de criterio sustancial por parte de la AEPD, ya que expone nuevas condiciones y prohibiciones respecto al uso de sistemas biométricos en el entorno de trabajo que afectan de modo significativo a todas las empresas.
Es importante mencionar que los datos biométricos son datos de categorías especiales y que requieren de una observancia adicional. Asimismo, no debemos olvidar que de manera general su tratamiento está prohibido, salvo que nos encontremos ante alguna de las excepciones tasadas por la normativa vigente de Protección de Datos, como puede ser el cumplimiento de una obligación legal o el consentimiento del interesado, circunstancias que podrían levantar la prohibición y podrían suponer una condición de legitimación del tratamiento.
Autenticación e identificación (biométricas)
Una de las principales modificaciones al respecto es la equiparación de la “autenticación biométrica” y la “identificación biométrica”. Con anterioridad, la AEPD diferenciaba aquellos sistemas biométricos que se limitaban a autenticar los rasgos de una persona previamente ya identificada, considerando que no suponían el tratamiento de datos biométricos. Por esta razón, su tratamiento no quedaba prohibido y muchas empresas decidieron invertir en sistemas biométricos de control de la jornada laboral mediante autenticación, asegurándose así de un efectivo control de la jornada.
Sin embargo, en la actualidad, este cambio de criterio hace muy complejo el uso de estos sistemas, sin vulnerar la normativa de Protección de Datos, así como las directrices de la Autoridad de Control.
Obligación legal
Si bien es cierto que, el control de la jornada laboral es una obligación legal para todas las empresas, la AEPD considera que la norma no concreta la autorización ni la obligatoriedad de utilizar específicamente datos biométricos. Además, el tratamiento de estos datos debe ser necesario para el cumplimiento de esta obligación legal, por lo que, la empresa debería de ser capaz de justificar que no existen otros medios iguales de efectivos, pero menos intrusivos para los empleados. No obstante lo anterior, en caso de que existiera un convenio colectivo aplicable que indicara la posibilidad de tratar datos biométricos, en ese caso concreto, debería realizarse una Evaluación de Impacto de Protección de datos, la cual debería ser favorable.
Consentimiento
Pero ¿sería posible tratar la huella dactilar de los empleados en base a su consentimiento? La AEPD considera que no, ya que existe una relación de dependencia y un desequilibrio de poder entre el empleado y el empleador, por lo que el empleado se encuentra en una situación de vulnerabilidad, no pudiendo ser el consentimiento libre, requisito indispensable para su validez.
Finalidades del tratamiento
En cuanto a las finalidades del tratamiento de estos datos, no debemos olvidar que este cambio de criterio no solo aplica al uso de datos biométricos con la finalidad de llevar a cabo el registro de la jornada laboral, sino también para el control de accesos, tanto con fines laborales como no laborales.
Conclusiones
En definitiva, teniendo en cuenta el reciente cambio de criterio de la Autoridad de Control que hace prácticamente imposible la utilización de tecnologías biométricas en el ámbito laboral sin vulnerar la normativa vigente de Protección de Datos, y que no se ha concedido un periodo de gracia para que las empresas puedan adaptarse a dichos cambios, recomendamos que siempre que sea posible técnicamente, con la finalidad de evitar cualquier tipo de controversia futura, se detenga el uso de este tipo de sistemas biométricos, se sustituyan por métodos equivalentes y, de forma paralela, se lleve a cabo una nueva Evaluación de Impacto de Protección de Datos, que incluya el triple juicio de idoneidad, necesidad y proporcionalidad.
Con el desarrollo de la inteligencia artificial y la constante evolución de las nuevas tecnologías, se ha detectado que a través de estos sistemas se recogen, en muchas ocasiones, más datos personales de los esperados, sin que los interesados sean conscientes de ello ni de su alcance.
Lo mismo ocurre con los sistemas biométricos utilizados en el entorno laboral para el control de la jornada o para el control de accesos, a través de los cuales se tratan datos biométricos como la huella dactilar o el reconocimiento facial, entre otros, tratamientos que pueden implicar riesgos respecto de los derechos y libertades de los empleados.
A consecuencia de ello y con el afán de garantizar el efectivo cumplimiento de la normativa de Protección de Datos en el entorno laboral, la Agencia Española de Protección de Datos (AEPD) ha publicado la Guía “Tratamiento de control de presencia mediante sistemas biométricos”, que pretende adaptarse a las directrices del Comité Europeo de Protección de Datos. El documento supone un cambio de criterio sustancial por parte de la AEPD, ya que expone nuevas condiciones y prohibiciones respecto al uso de sistemas biométricos en el entorno de trabajo que afectan de modo significativo a todas las empresas.
Es importante mencionar que los datos biométricos son datos de categorías especiales y que requieren de una observancia adicional. Asimismo, no debemos olvidar que de manera general su tratamiento está prohibido, salvo que nos encontremos ante alguna de las excepciones tasadas por la normativa vigente de Protección de Datos, como puede ser el cumplimiento de una obligación legal o el consentimiento del interesado, circunstancias que podrían levantar la prohibición y podrían suponer una condición de legitimación del tratamiento.
Autenticación e identificación (biométricas)
Una de las principales modificaciones al respecto es la equiparación de la “autenticación biométrica” y la “identificación biométrica”. Con anterioridad, la AEPD diferenciaba aquellos sistemas biométricos que se limitaban a autenticar los rasgos de una persona previamente ya identificada, considerando que no suponían el tratamiento de datos biométricos. Por esta razón, su tratamiento no quedaba prohibido y muchas empresas decidieron invertir en sistemas biométricos de control de la jornada laboral mediante autenticación, asegurándose así de un efectivo control de la jornada.
Sin embargo, en la actualidad, este cambio de criterio hace muy complejo el uso de estos sistemas, sin vulnerar la normativa de Protección de Datos, así como las directrices de la Autoridad de Control.
Obligación legal
Si bien es cierto que, el control de la jornada laboral es una obligación legal para todas las empresas, la AEPD considera que la norma no concreta la autorización ni la obligatoriedad de utilizar específicamente datos biométricos. Además, el tratamiento de estos datos debe ser necesario para el cumplimiento de esta obligación legal, por lo que, la empresa debería de ser capaz de justificar que no existen otros medios iguales de efectivos, pero menos intrusivos para los empleados. No obstante lo anterior, en caso de que existiera un convenio colectivo aplicable que indicara la posibilidad de tratar datos biométricos, en ese caso concreto, debería realizarse una Evaluación de Impacto de Protección de datos, la cual debería ser favorable.
Consentimiento
Pero ¿sería posible tratar la huella dactilar de los empleados en base a su consentimiento? La AEPD considera que no, ya que existe una relación de dependencia y un desequilibrio de poder entre el empleado y el empleador, por lo que el empleado se encuentra en una situación de vulnerabilidad, no pudiendo ser el consentimiento libre, requisito indispensable para su validez.
Finalidades del tratamiento
En cuanto a las finalidades del tratamiento de estos datos, no debemos olvidar que este cambio de criterio no solo aplica al uso de datos biométricos con la finalidad de llevar a cabo el registro de la jornada laboral, sino también para el control de accesos, tanto con fines laborales como no laborales.
Conclusiones
En definitiva, teniendo en cuenta el reciente cambio de criterio de la Autoridad de Control que hace prácticamente imposible la utilización de tecnologías biométricas en el ámbito laboral sin vulnerar la normativa vigente de Protección de Datos, y que no se ha concedido un periodo de gracia para que las empresas puedan adaptarse a dichos cambios, recomendamos que siempre que sea posible técnicamente, con la finalidad de evitar cualquier tipo de controversia futura, se detenga el uso de este tipo de sistemas biométricos, se sustituyan por métodos equivalentes y, de forma paralela, se lleve a cabo una nueva Evaluación de Impacto de Protección de Datos, que incluya el triple juicio de idoneidad, necesidad y proporcionalidad.