Nueva guía de la AEPD sobre la utilización de datos biométricos para el control de presencia y acceso

23/11/2023

La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía Tratamientos de control de presencia mediante sistemas biométricos, un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) entre otras normativas.

En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.

En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).

Se añade también añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:

Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.

Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
Implementar la protección de datos desde el diseño.
Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.

Idaira Hernández Peraza
Consultora

Fuente: Agencia Española de Protección de Datos

Cookies técnicas Las cookies técnicas o necesarias son esenciales para que nuestra web pueda funcionar correctamente e incluye funcionalidades básicas como identificar la sesión o dar acceso a los usuarios registrados a zonas de acceso restringido. Por estos mótivos las cookies técnicas no se pueden desactivar.
Cookies de estadísticas Utilizamos cookies de tipo estadístico para ver como interactúas con la página web, reuniendo información anónima durante el tiempo que navegas por ella. La finalidad de recabar esta información es la de introducir mejoras en la web en función del análisis de los datos agregados.
Cookies de preferencia Al utilizar cookies de preferencias, la página web puede recordar información durante tu tiempo de navegación asociada a la forma en que la página se comporta o el aspecto que tiene, como tu idioma preferido o la región en la que te encuentras.
Cookies de marketing Las cookies de marketing o publicitarias se utilizan para analizar tu comportamiento mientras visitas la página web y para que, de forma puntual, otros proveedores puedan ofrecerte publicidad personalizada y relevante atendiendo a tu perfil de navegación.