La Agencia Española de Protección de Datos (AEPD) ha publicado una guía sobre el uso de sistemas biométricos para el control de presencia, tanto en contextos laborales como no laborales. El documento establece criterios para garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y otras normativas al utilizar tecnología biométrica.
El documento fija los criterios de uso de esa tecnología tanto con fines laborales como no laborales
La guía destaca que los sistemas biométricos, junto con la inteligencia artificial, están evolucionando rápidamente, recopilando información detallada incluso sin la cooperación consciente de las personas. La AEPD considera el tratamiento de datos biométricos como de alto riesgo y que involucra categorías especiales de datos, requiriendo condiciones específicas para su legitimación según el RGPD.
En el caso de control de acceso y registro de jornada laboral, el consentimiento no puede levantar la prohibición, y se necesita una norma con rango de ley para autorizar el uso de datos biométricos. Para el control de accesos no laborales, el consentimiento tampoco es suficiente debido al riesgo asociado.
La utilización de datos biométricos supone un tratamiento de categorías especiales de datos de alto riesgo
La guía impone restricciones en tratamientos biométricos con decisiones automatizadas sin intervención humana, y exige una Evaluación de Impacto para la Protección de Datos antes de iniciar el tratamiento biométrico. Además, proporciona un conjunto de medidas a seguir, como informar a las personas sobre el tratamiento, implementar la revocación del vínculo biométrico, usar cifrado para proteger la confidencialidad, y aplicar la minimización de datos, entre otros requisitos de cumplimiento del RGPD.