Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Datos biométricos y RGPD: Guía para la aplicación de la normativa de protección de datos en la empresa

Los datos biométricos son aquellos que permiten reconocer a una persona de acuerdo a sus características fisiológicas o según sus conductas. Es decir, que a partir del análisis previo de huellas dactilares, geometría de la mano, retina o iris del ojo o imagen facial (por citar algunos) y de su registro y comparación, se puede identificar a una persona de manera inequívoca.

En la actualidad, cuando se usan con fines de identificación o autenticación, tienen consideración de datos personales de categorías especiales. En este artículo detallamos cómo se regula el tratamiento de datos biométricos en el RGPD.

Los datos biométricos en la normativa de protección de datos RGPD

El Reglamento General de Protección de Datos (RGPD) considera el tratamiento de datos biométricos como tratamiento de categorías especiales de datos y, por tanto, como datos especialmente protegidos, cuando esta información biométrica se usa para identificar de manera inequívoca a una persona física, usando para ello medios técnicos específicos.

Los datos biométricos son aquellos que permiten analizar los rasgos y características físicas de una persona. En relación a la identidad digital, se usan para comprobar las características físicas únicas y la singularidad de una persona para verificar que es quien dice ser.

Por ejemplo, cuando se usa la huella dactilar o el reconocimiento facial para autorizar el acceso a una zona restringida al autenticar a una persona. Pero también cuando se usan las cámaras biométricas para identificar a una persona en un aeropuerto.

Los datos biométricos en el RGPD están regulados en el artículo 9 (junto al resto de categorías especiales de datos personales). El apartado 1 de este artículo establece, como norma general, la prohibición de tratar datos biométricos con fines de identificación.

Esta prohibición solo puede levantarse si concurre alguna de las circunstancias previstas en el artículo 9.2:

  • Por consentimiento explícito del interesado
  • Para proteger el interés vital del interesado cuando este se encuentre incapacitado tomar decisiones
  • Cuando sea necesario para el cumplimiento de obligaciones establecidas o para llevar a cabo los derechos de la protección de datos
  • Si esos datos son públicos y han sido publicados por el interesado
  • Por interés público esencial siempre que sea proporcional al objetivo perseguido
  • Y también con fines de medicina preventiva, cuestiones sociales o para evaluar las capacidades del trabajador

Por su parte, la Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD) regula en los mismos términos que el RGPD el uso de datos biométricos, con la inclusión, en la disposición final undécima, de la siguiente condición para levantar la prohibición para su tratamiento: «[…] el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley».

Guía de la AEPD sobre la utilización de datos biométricos

A finales de 2023, la AEPD publicó una nueva guía para el tratamiento de datos biométricos en el ámbito laboral, en concreto sobre tratamientos de control de presencia mediante sistemas biométricos, es decir, el control de acceso y el control horario, dos usos muy extendidos en empresas y entidades públicas, especialmente en el uso de la huella dactilar para combinar el control de acceso y el registro de la jornada laboral.

En los siguientes puntos analizamos las claves de esta guía, que si bien no introduce cambios en la legislación sobre datos biométricos, sí que lo hace en la interpretación que hasta ahora venía haciendo la AEPD.

tarifas proteccion datos

Cambio de criterio de la AEPD

Lo más significativo respecto a datos biométricos y protección de datos, por cómo afecta al tratamiento de datos biométricos en el ámbito laboral (y fuera de este también), es el cambio de criterio de la AEPD.

Hasta la publicación de la presente guía, la AEPD diferenciaba entre identificación (uno a muchos) y autenticación biométrica (uno a uno), entendiendo la identificación biométrica como tratamiento de datos de categorías especiales y la autenticación como un tratamiento normal de datos.

Ahora, siguiendo el criterio establecido por el CEPD (Comité Europeo de Protección de Datos), la Agencia entiende que tanto la autenticación como la identificación biométrica son un tratamiento de datos de categorías especiales, prohibido, cómo ya hemos señalado, por el RGPD y la LOPDGDD, salvo que concurra una de las circunstancias citadas que legitime dicho tratamiento.

Bases de legitimación aplicables

En lo que respecta al control de presencia en el ámbito laboral, de las bases de legitimación aplicables, solo serían válidas, según el criterio de la AEPD:

  • El consentimiento explícito del interesado.
  • La existencia de una norma con rango de ley que contemple el uso de datos biométricos para efectuar el control de acceso y/o el control horario. O que se recoja en el convenio colectivo.

Sin embargo, y de acuerdo con el nuevo criterio de la AEPD, estas bases legitimadoras no son suficientes actualmente para levantar la prohibición para el uso de datos biométricos en el control de presencia.

En lo que respecta al consentimiento de los interesados, dado el desequilibrio de poder que existe en la relación de empleador y empleados, no podría considerarse que se da de forma libre y sin estar condicionado. Solo tendría esa consideración si existiera un medio alternativo y menos invasivo para realizar el control de presencia (como, por ejemplo, tarjetas RFID). Pero la existencia de dicha alternativa menos invasiva, invalidaría el control de presencia mediante datos biométricos, porque este, según el análisis de la AEPD, no sería necesario, al no cumplirse el principio de minimización de datos del artículo 5.1.c) del RGPD.

En cuanto a basar el tratamiento de datos biométricos en una obligación legal del empleador (norma con rango de ley), no existe, en la legislación actual, ninguna norma que lo contemple, ya que ni el artículo 20.3 ni el 34.9 del Estatuto de los Trabajadores contemplan la autenticación biométrica como medida de control o de registro de la jornada laboral (si bien es obligatorio fichar en el trabajo, el ET no establece qué medios deben usarse para ello).

Solo en el caso de que así lo contemple el convenio colectivo, podría emplearse un sistema de autenticación biométrica para el control de presencia, aunque para su aplicación deberá haberse realizado la correspondiente evaluación de impacto en protección de datos (EIPD) y haber superado el triple juicio de idoneidad, necesidad y proporcionalidad.

Control objetivo del sistema y alternativas

Para demostrar que el tratamiento de datos biométricos está justificado (y esto podemos aplicarlo tanto en el ámbito laboral como fuera de él) y ampararlo en alguna de las bases legitimadoras citadas, la organización deberá realizar:

  • Un análisis de riesgos.
  • Una EIPD.
  • Un juicio de idoneidad, necesidad y proporcionalidad.

En ese sentido, solo el control de acceso mediante autenticación biométrica podría llegar a considerarse válido, si la finalidad que se pretende alcanzar, en ese caso, evitar la entrada de personal no autorizado a una zona restringida, por cuestiones de seguridad e interés público, queda debidamente justificada y se han realizado las acciones citadas.

Acciones que, en cualquier caso, ya debían ponerse en práctica antes de la publicación de la actual guía de la AEPD, si se realizaban tratamientos de datos biométricos (y su no realización han sido motivo de diferentes sanciones, todas ellas en torno a los 30.000 euros).

Conclusiones: Obligaciones para empresas que tratan datos biométricos

Si bien la AEPD no prohíbe completamente el uso de datos biométricos para el control de presencia, sí que su utilización es ahora más compleja y restrictiva (por lo que se recomienda no utilizarlos y recurrir a medidas alternativas para ello, como las ya citadas tarjetas RFID).

En cualquier caso, si la empresa u organización va a tratar datos biométricos, estas son las obligaciones en protección de datos que debe cumplir:

Obligaciones de protección de datos para empresas que tratan datos biométricos

Obligaciones para empresas que tratan datos biométricos Respecto a LOPD/RGPD

  • Deber de información: Aquellos que traten datos biométricos deben informar a los interesados sobre la identidad de los responsables, encargados del tratamiento o sus representantes, la finalidad del tratamiento, el plazo de conservación de datos, la cesión de datos a terceros o las vías para ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
  • Consentimiento de los afectados: El afectado deberá dar su consentimiento explícito al tratamiento de dichos datos, con la finalidad de dicho tratamiento especificada. Es importante señalar que el consentimiento solo puede levantar la prohibición del tratamiento de datos biométricos, cuando este se da libre y voluntariamente, es decir, cuando el consentimiento no viene ‘viciado’ por una relación desigual (como ya hemos visto que ocurre con en la relación laboral).
  • Deber de seguridad: Los responsables del tratamiento han de aplicar de manera proactiva todas las medidas necesarias para garantizar la seguridad e integridad de la información, con el objetivo de evitar la pérdida o el robo de datos o los accesos por parte de terceros no autorizados. También han de informar a la AEPD si se produce una brecha de seguridad en un plazo de 72 horas.
  • Deber de confidencialidad: También se ha de cumplir con el deber de confidencialidad, esto es, no revelar a terceros los datos a los que se ha tenido acceso. Esto incluye la obligatoriedad de firmar un acuerdo de confidencialidad con los encargados del tratamiento o con los empleados que tengan acceso a los datos biométricos. 
  • Evaluación de Impacto: Es obligatoria la realización de una EIPD del sistema que se usará para el tratamiento. A través de esta evaluación de impacto se determinarán las medidas necesarias para garantizar la protección y seguridad de los datos biométricos. 
  • Principio de necesidad, idoneidad y proporcionalidad en el tratamiento: Los datos biométricos deben ser recogidos para unos fines determinados. Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el interesado:
    • El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.
    • El principio de idoneidad y proporcionalidad hace referencia a los riesgos que se entrañan para la protección de los derechos y libertades fundamentales de las personas. Y para cuando los fines no pueden alcanzarse de otra forma menos agresiva.
  • Registro de las actividades de tratamiento: Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad. Una base de datos biométricos deberá contener como mínimo la siguiente información:
    • Nombre y los datos de contacto del responsable del tratamiento y, en su caso, del encargado, el representante del responsable y el Delegado de Protección de Datos.
    • Fines del tratamiento
    • Descripción de las categorías de interesados y de las categorías de datos personales
    • Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
    • Plazos previstos para la supresión de las diferentes categorías de datos
  • Designar un Delegado de Protección de Datos.

¿Tratas con datos biométricos en tu empresa o estás pensando en implantar algún tipo de sistema biométrico?

Aunque el uso de datos biométricos para el control de presencia queda prácticamente descartado por la AEPD, eso no quiere decir que no existan otras instancias en las que se realicen tratamiento de datos biométricos (siempre que exista una base legitimadora válida para levantar su prohibición y se cumplan el resto de requisitos y obligaciones vistas a lo largo de este artículo).

Por lo que si tu empresa u organización trata o prevé tratar datos biométricos, debes asegurarte de que cumples con todos los preceptos de la ley de protección de datos y que lo haces de manera adecuada, para no incurrir en posibles infracciones y ser sancionado por ello.

Grupo Atico34 puede ayudarte a cumplir con todas las obligaciones exigidas por el RGPD para el tratamiento de datos biométricos. Somos una consultora con más de 12 años de experiencia ofreciendo servicios de protección de datos en empresas de todos los tamaños y sectores. Contamos con un equipo de abogados y asesores cualificados y especializados en el cumplimiento de las normativas de protección de datos. Estamos siempre a la vanguardia y por eso estamos al tanto de cómo adaptar las nuevas soluciones tecnológicas y digitales a la ley de protección de datos.

Para darse de alta en protección de datos con nuestro servicio, solo tienes que ponerte en contacto con nosotros. Te guiaremos en todo lo que necesites.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.