Togas.biz

Desde la entrada en vigor del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que en su artículo 10 modifica el Estatuto de los Trabajadores, haciendo efectiva la obligación de las empresas de garantizar el registro diario de jornada de sus trabajadores, han sido muchas las empresas que han optado por utilizar sistemas basados en el tratamiento de datos biométricos. En concreto, la huella dactilar es uno de los datos biométricos más utilizados dado que tiene un elevado índice de precisión y, además, ofrece importantes ventajas como su bajo coste de implantación y su sencilla adaptación.

Recientemente, la Agencia Española de Protección de Datos (en adelante, AEPD) ha publicado una resolución en la que impone una multa de 20.000€ a una empresa por instalar un sistema basado en la huella dactilar sin haber realizado una Evaluación de Impacto previa. De esta sanción podemos extraer una serie de criterios y requisitos que deberemos tener muy en cuenta para la implantación de estos sistemas.

EN primer lugar, el Reglamento General de Protección de Datos (en adelante, RGPD), define los datos biométricos, en su artículo 4.12) como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Además, son considerados datos de categoría especial. El artículo 9 del RGPD contempla el tratamiento de este tipo de datos en un número limitado de circunstancias dado que por su propia naturaleza son particularmente sensibles en relación con los derechos y las libertades fundamentales.

Teniendo en cuenta lo anterior, el criterio de la AEPD es que únicamente se tratarían como dato de categoría especial, aquellos en los que se sometan a tratamiento técnico dirigido a la identificación biométrica “uno a varios”, y no en el caso de verificación/autentificación biométrica “uno a uno”. Esta distinción se convierte en una pieza primordial a la hora de valorar la viabilidad de estos sistemas. Manifiesta la AEPD en su resolución que en el registro de jornada laboral a priori siempre se va a producir una identificación de huella “uno a varios”, en consecuencia, se lleva a cabo un tratamiento de un dato de categoría especial y es necesario llevar a cabo una evaluación de impacto.

Por otra parte, recuerda la AEPD la necesidad de contar con una base de legitimación para proceder al tratamiento de los datos y contempla como única opción viable -caso de cumplir los requisitos previos- el cumplimiento de una obligación legal. No obstante, insiste en la necesidad de la previa superación de la prohibición del tratamiento por las causas tasadas en el artículo 9 del RGPD.

Finalmente, resulta imprescindible llevar a cabo un análisis de la proporcionalidad del tratamiento, considerando si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable. Antes de implantar un sistema de reconocimiento de huella dactilar, el responsable debe de valorar si hay otro sistema menos intrusivo con el que se obtenga idéntica finalidad

Con esta sanción, recuerda la AEPD la necesidad de llevar a cabo una Evaluación de Impacto para valorar tanto la legitimad del tratamiento y su proporcionalidad, como la determinación de los riesgos existentes y las medidas para mitigarlos. Como hemos visto en esta resolución, el incumplimiento de esta obligación puede derivar en una multa de 20.000€.

Artículo de Andrea Camps.

Fuente: De Lorenzo Abogados

Source