Madrid, 23 mayo (EUROPA PRESS)
La Agencia Española de Protección de Datos (AEPD) ha publicado una ‘Guía para el tratamiento de la gestión de presencia con sistemas biométricos’.
Con ello, la agencia estatal establece las medidas que deben tenerse en cuenta para el tratamiento de datos personales mediante esta tecnología, en particular para cumplir con el Reglamento General de Protección de Datos (RGPD).
Los sistemas biométricos y el tratamiento de los datos obtenidos a partir de ellos evolucionan muy rápidamente. Los nuevos sistemas aumentan el nivel de detalle de la información recopilada e incluso pueden ser capaces de recopilar información sin la cooperación de la persona, y ésta puede incluso no ser consciente de ello. Además, el desarrollo de la inteligencia artificial ha permitido deducir información adicional sobre una persona.
En este sentido, la Agencia considera que el tratamiento de datos biométricos tanto con fines de identificación como de autenticación es un tratamiento de alto riesgo que implica categorías especiales de datos; tal y como establece el GDPR, para tratar estas categorías deben darse circunstancias que levanten la prohibición del tratamiento y, además, se dan condiciones que lo justifiquen, subrayó.
En el caso del registro horario y el control de acceso con fines laborales, la Agencia explicó que si el levantamiento de la prohibición se basa en el artículo 9.2.b) del GDPR, el responsable del tratamiento debe contar con una normativa con rango de ley que permita específicamente el uso de datos biométricos para este fin.
La Agencia también precisó que, en relación con estos tratamientos, la prohibición no puede levantarse por consentimiento ni utilizarse como base para determinar la licitud del tratamiento, ya que existe un desequilibrio entre quienes son objeto del tratamiento y quienes lo llevan a cabo.
En cuanto al control de acceso fuera del entorno laboral, la Agencia alega que la ejecución del contrato no forma parte de las circunstancias enumeradas en el artículo 9, apartado 2, del RGPD y, por tanto, no es una situación en la que se levante la prohibición. Añade que el consentimiento tampoco puede serlo, ya que se trata de una tarea de tratamiento de alto riesgo y no cumple el requisito de necesidad (artículo 35, apartado 7, letra b)).
La Guía también establece restricciones al tratamiento biométrico para la gestión del tiempo y la asistencia cuando se tomen decisiones automatizadas sin intervención humana, que tengan efectos jurídicos sobre la persona o la afecten materialmente de manera similar.
En cualquier caso, la Guía establece que si se van a adquirir datos biométricos, antes de iniciar el tratamiento debe realizarse una evaluación de impacto sobre la protección de datos, que debe certificar, entre otras cosas, que el tratamiento ha superado un triple análisis de adecuación, necesidad y proporcionalidad.
Informar a las personas sobre el tratamiento biométrico y los elevados riesgos que conlleva, implantar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física, y aplicar medidas técnicas que imposibiliten el uso de la plantilla para otros fines son algunas de las medidas que deben aplicarse si se cumplen todos los requisitos para el cumplimiento de los principios del GDPR. También incluye el uso de cifrado para proteger la confidencialidad, disponibilidad e integridad de las plantillas biométricas; el uso de formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos o la revelación de datos no verificados; el uso de un formato de datos o tecnología que imposibilite la revelación de datos biométricos cuando se procesen para suprimirse si no son pertinentes para la finalidad para la que se trataron.
Implementar la protección de datos desde el diseño y aplicar la minimización de los datos recogidos y evaluar objetivamente que no se tratan categorías especiales de datos son también medidas que deberían desarrollarse.
