AEPD lanza una guía sobre el tratamiento de datos biométricos

La Agencia Española de Protección de Datos (AEPD) ha lanzado recientemente la "Guía Tratamientos de control de presencia mediante sistemas biométricos," un documento que detalla los criterios fundamentales para la utilización de datos biométricos en el control de acceso, tanto en contextos laborales como no laborales.

AEPD lanza una guía sobre el tratamiento de datos biométricos

Esta guía establece las medidas cruciales que deben tenerse en cuenta para garantizar que los tratamientos de datos personales que emplean tecnología biométrica cumplan con el Reglamento General de Protección de Datos (RGPD) y otras normativas pertinentes.

En un entorno en constante evolución, los sistemas biométricos y el tratamiento de los datos asociados están experimentando avances rápidos. Los nuevos sistemas no solo aumentan el nivel de detalle en la información recopilada, sino que también introducen la posibilidad de recopilar información sin la cooperación consciente de la persona, a veces sin que esta tenga conocimiento de ello. Este escenario se ve acentuado por el desarrollo de la inteligencia artificial, que puede utilizarse para inferir información adicional sobre las personas.

La AEPD considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un procedimiento de alto riesgo que involucra categorías especiales de datos. Conforme al RGPD, el tratamiento de estas categorías requiere una justificación que levante la prohibición de tratamiento y, además, una condición que legitime dicho tratamiento.

En el contexto del registro de jornada y control de acceso con fines laborales, si la justificación se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una normativa legal que autorice expresamente el uso de datos biométricos para este propósito. La Agencia destaca que, en este contexto, el consentimiento no puede anular la prohibición ni ser la base para determinar la legalidad del tratamiento, dado el desequilibrio entre la persona sometida al tratamiento y quien lo lleva a cabo.

En cuanto al control de accesos fuera del ámbito laboral, el consentimiento tampoco puede levantar la prohibición debido al alto riesgo del tratamiento, sin cumplir el requisito de necesidad según el artículo 35.7.b.

La Guía también impone restricciones a los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana, con efectos jurídicos o impactos significativos en la persona de manera similar.

En todos los casos, la Guía establece que, antes de iniciar el tratamiento para la captura de datos biométricos, es obligatoria la realización de una Evaluación de Impacto para la Protección de Datos. Esta evaluación debe acreditar la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento, entre otros aspectos.

Etiquetas

Comparte este artículo:

Te puede interesar

Suscríbete a EasyLaw Magazine para recibir cada martes en tu correo las noticias más relevantes del sector legal.

Suscríbete a EasyLaw Magazine

Recibe cada martes la revista en tu email con las últimas novedades del sector legal

No te haremos spam