El passat 23 de novembre l’Agència Espanyola de Protecció de Dades (AEPD) va llençar la nova Guia sobre tractaments de control de presència mitjançant sistemes biomètrics. Aquesta nova normativa ha generat molta preocupació i dubtes al respecte i des de llavors són moltes les empreses que ens han preguntat sobre això.
En aquest article t’explicarem el més rellevant sobre aquesta guia i com el registre de jornades laborals mitjançant aquest sistema biomètric afecta a la privacitat dels treballadors.
Les dades biomètriques són dades sensibles?
Segons el RGPD, a l’art. 4. 14, es defineixen les dades biomètriques com “dades personals obtingudes a partir d’un tractament tècnic específic, relatiu a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única d’aquesta persona, com imatges facials o dades dactiloscòpiques”.
Per tant, aquest tipus de dades determinen la identitat directa o indirectament d’una persona i, per aquest motiu, serien considerades com a dades sensibles.
A més, la forma d’emmagatzematge d’aquestes dades, en plantilles o patrons biomètrics, permetrien executar accions de forma automàtica, perfilar o donar informació sobre una persona com poden ser les seves actituds, comportaments, etc.
És excessiu tractar dades biomètriques pel control de presència?
El control de presència és un tractament de dades que es realitza amb una finalitat concreta: registrar la jornada, controlar l’accés, entre altres motius. Però aquest tractament sempre ha de complir amb la normativa de protecció de dades i amb els principis, drets i obligacions que s’estableixen en el RGPD.
Un dels principis del RGPD és el principi de minimització, que determina que les dades seran “adequades, pertinents i limitades al necessari en relació amb els fins pels quals són tractades”. I a més, detalla clarament que qualsevol dada que no sigui necessària per complir amb una finalitat, no haurà de ser tractada.
Tenint en compte això, podem confirmar que la finalitat d’un tractament de control de presència no és tractar dades biomètriques. Pel que en els processos de control que s’utilitzen dades biomètriques estaríem recollint més informació que la requerida per aquesta finalitat i vulnerant el principi de minimització.
Segons els articles 5.1 c i 25.1, el tractament de control de presència ha de tractar exclusivament les dades necessàries per aquests fins. I quan hi hagi un tractament addicional s’haurà de justificar la seva necessitat. Per tant, resultarà excessiu el tractament de dades biomètriques per un control de presència.
Per exemple, en el cas del registre de la jornada, es pot fer un tractament d’aquestes dades amb un altre tipus d’implementació equivalent i menys intrusiva, que utilitzi les menors dades addicionals. És important que no només s’explorin les opcions tecnològiques.
Condiciones que legitimen, o no, el tractament de dades biomètriques
Per tractar qualsevol categoria de dades especials, com són les dades biomètriques, serà necessari que existeixi una circumstància per aixecar la prohibició i una condició que legitimi el tractament.
A continuació t’ensenyem tres casos:
- Si en un registre de jornada laboral l’aixecament de la prohibició es basa en l’art. 9.2.b), el responsable del tractament haurà de comptar amb una norma amb rang de llei que permeti usar dades biomètriques amb aquesta finalitat. Ja que això no ho contemplaria l’actual normativa legal espanyola.
- A un registre de jornada laboral mai podrà aixecar-se la prohibició a partir del consentiment dels treballadors, ja que existeix una situació de desequilibri entre l’interessat (treballador) i el responsable del tractament (empresa, cap, etc)
- L’execució d’un contracte tampoc serà una circumstància per aixecar la prohibició del tractament.
A més, s’haurà de tenir en compte que:
- Si la recollida de dades biomètriques s’implementa amb tècniques d’intel·ligència artificial, també s’haurà de tenir en compte les prohibicions, limitacions i exigències establertes a la normativa d’intel·ligència artificial.
- Sempre serà obligatori superar favorablement una Avaluació d’Impacte per la Protecció de Dades, que s’haurà de fer abans del tractament de dades, en la qual es documentarà la superació del triple anàlisi d’idoneïtat, necessitat i proporcionalitat.
En el cas del tractament de dades biomètriques ens trobem que no superaria aquest anàlisi.
A més, aquest punt és important, ja que pot ser objecte de sanció. Com en aquest cas en el qual l’AEPD ha sancionat amb 20.000€ a una empresa per no haver fet una PIA (Privacy Impact Assestment) prèvia.
Mesures i garanties pel tractament de dades biomètriques
En el cas de superar-se tots els requisits en la implementació d’un sistema biomètric pel control de presència, s’haurà de complir aquestes garanties i mesures organitzatives, tècniques i jurídiques:
- Informar els treballadors sobre el tractament biomètric i l’alt risc que comporta.
- Permetre la possibilitat de revocar el vincle d’identitat entre la plantilla biomètrica i la persona física.
- Assegurar que la plantilla o patró biomètric no s’utilitza per a aquests propòsits.
- Utilitzar xifrat per protegir la confidencialitat, disponibilitat i integritat de les dades recollides.
- Utilitzar sistemes tecnològics que impossibilitin la interconnexió de dades biomètriques i la divulgació d’aquestes.
- Eliminar les dades biomètriques si no s’utilitzen per la finalitat establerta.
- Aplicar la minimització de les dades biomètriques recollides.
- Recollir totes les garanties i drets amb relació al tractament de dades biomètriques en els convenis col·lectius.
Amb tota la informació que ens arriba d’aquesta guia de l’AEPD, des de Pyme Legal recomanem deixar d’utilitzar els sistemes de dades biomètriques i buscar opcions menys intrusives i que no recullin tantes dades innecessàries.
Tot i això, estarem a l’espera de que la Comissió Europea opini al respecte perquè encara podria canviar la situació.
L’equip de Pyme Legal