En un esfuerzo para lanzar luz sobre la utilización de sistemas biométricos en el control de presencia laboral y el control de acceso con fines tanto laborales como no laborales, la Agencia Española de Protección de Datos (AEPD) ha lanzado una guía detallada y titulada "Tratamientos de control de presencia mediante sistemas biométricos". Este documento analiza críticamente y rigurosamente si estos tratamientos cumplen con las normativas establecidas en el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPD), así como el Real decreto ley 8/2019.

La rápida evolución de los sistemas biométricos y la capacidad de recoger información sin la cooperación consciente de las personas han llevado a la AEPD a considerar el tratamiento de datos biométricos como un tratamiento "de alto riesgo", puesto que incluye categorías especiales de datos las cuales no pueden tratarse salvo que se levante la prohibición del artículo 9.2.b) del RGPD.

La guía destaca que, en el caso del registro de jornada y control de acceso con fines laborales, se requiere una norma con rango de ley que autorice específicamente el uso de datos biométricos para esta finalidad. Una norma con rango de ley podría ser, por ejemplo, un convenio colectivo. Además, se enfatiza que el consentimiento del empleado no puede levantar la prohibición ni ser la base para determinar la licitud del tratamiento a causa del desequilibrio entre la persona sometida al tratamiento y la persona que lo lleva a cabo, puesto que esto anularía el requisito que el consentimiento sea libre.

Se subraya la obligatoriedad de llevar a cabo una "Evaluación de Impacto de Protección de Datos" con carácter previo al inicio del tratamiento de datos biométricos donde se tiene que acreditar la superación del triple análisis de necesidad, idoneidad y proporcionalidad. Sobre todo, la AEPD hace referencia a la dificultad de lograr la superación del análisis en cuanto a necesidad y a proporcionalidad dado que siempre habrá métodos menos intrusivos que conseguirán del mismo modo la finalidad perseguida.

En el caso de la superación de todos los requisitos establecidos por la guía, se resaltan medidas claves a aplicar para reducir los riesgos asociados al tratamiento de datos biométricos, tales como garantizar la imposibilidad de utilizar las plantillas por otros propósitos, utilizar cifrados para proteger la confidencialidad y suprimir los datos biométricos cuando no se vinculen a la finalidad original, etc. Además, es muy importante implementar la protección de datos desde el diseño y por defecto y por supuesto aplicar el principio de minimización de datos.

En resumen, este informe de la AEPD brinda una visión detallada sobre el controvertido tema del control de presencia mediante sistemas biométricos. Se establecen criterios rigurosos hacia el uso de los sistemas biométricos, reconociendo su naturaleza de alto riesgo y proporcionando directrices detalladas para garantizar el cumplimiento de las normativas. Para poder aportar más claridad y un análisis con más profundidad desde el Consorci de Salut i Social de Catalunya se ha preparado una nota informativa sobre los puntos más relevantes expuestos por la Autoridad.