Blog

Compliance

Reconocimiento facial como control acceso laboral

Dictamen APDCAT sobre reconocimiento facial

30 marzo, 2022
Dictamen APDCAT sobre reconocimiento facial

El pasado 2 de Febrero la Agencia Catalana de Protección de Datos (APDCAT) emitió un dictamen sobre una consulta formulada por un Ayuntamiento relativo a conformidad a la normativa de protección de datos del uso de dispositivos de control de presencia al puesto de trabajo mediante reconocimiento facial. En este dictamen resuelve que:

  1. Las huellas dactilares, imágenes faciales y lecturas del iris, entre otros, se conocen como datos biométricos y son datos personales de categoría especial (arte. 9.1 RGPD).
  1. El tratamiento de datos especiales está prohibido de forma genérica por la situación de vulnerabilidad que genera a los interesados. Las excepciones de esta prohibición se formulan a través de una lista cerrada (arte. 9.2 RGPD).

Esta incluye dos supuestos que podrían ser de aplicación en el marco del registro de la jornada laboral o el control de accesos:

  • Consentimiento del interesado (arte. 9.2.a RGPD).

Respecto de la validez de esta excepción, al expositivo IV del dictamen se establece que «En definitiva, la normativa de protección de datos no admite a todos los efectos el consentimiento como base jurídica legitimadora de los tratamientos llevados a cabo por las administraciones públicas o los empresarios para el control en el entorno laboral, atendido el desequilibrio de poder que acostumbra a producirse entre las relaciones de aquellos con los interesados, que impide que el consentimiento pueda considerarse libre.»

Así pues, no se puede fundamentar el uso de la biometría a través del consentimiento de los trabajadores.

  • Cumplimiento de obligaciones legales y/o el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (arte. 9.2.b RGPD).

A largo del dictamen y particularmente a las conclusiones de este, se expone que no existe en la actualidad ninguna disposición legal con rango de ley o convenio colectivo que habilite el uso de datos biométricos, por el que la única alternativa sería un pacto o acuerdo resultado de la negociación colectiva. En este caso, «antes de la implantación de un sistema de este tipo, hay que hacer una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en que se lleve a cabo el tratamiento para determinar la licitud y la proporcionalidad, incluida el análisis de la existencia de alternativas menos intrusivas, y establecer las garantías adecuadas.»

  1. Atendiendo a la licitud y proporcionalidad requeridas y la disponibilidad de métodos menos intrusivos, el expositivo IV del dictamen indica los siguientes puntos:
  • Hay que optar por otros sistemas de control que, sin utilizar categorías de datos especialmente protegidos, puedan permitir lograr la misma finalidad.
  • Atendiendo a primeros de minimización, resulta obligatorio escoger las tecnologías que resulten menos intrusivas desde el punto de vista de la protección de datos. Vinculándolo con el punto anterior, se establece que el principio de minimización no se manifiesta solo en la hora de optar por alternativas que no impliquen el tratamiento de datos personales, o de llevar a cabo el tratamiento de datos de forma que se empleen los datos mínimos indispensables, sino que también tiene que comportar que si se puede lograr una determinada finalidad sin tener que tratar datos de categorías especiales, esta opción tiene que prevalecer ante otras opciones que sí que impliquen el tratamiento de estos tipos de datos.
  • Existen métodos alternativos. El dictamen propone «por ejemplo, (…) la utilización de tarjetas personales u otros tipos de objetos (token) en un sistema de marcaje, la utilización de códigos personales, la visualización directa del punto de marcaje o la utilización de sistemas de videovigilancia donde quede constancia de la hora de entrada o salida pueden constituir, por sí mismos o en combinación con alguno de los otros sistemas disponibles, medidas eficaces para llevar a cabo el control».
  1. En caso de querer continuar utilizando características físicas como método de registro lícito, hay que evitar hacer un tratamiento como es la identificación, puesto que los dispositivos o sistemas almacenan las plantillas, imágenes o algoritmos que derivan de los datos biométricos de los trabajadores. La única manera de hacerlo respetando la normativa en protección de datos seria a través de la autenticación, que implica que la empresa NO almacena ningún tipo de dato, donde el trabajador fundido portador de su propia plantilla y la validara, posteriormente, con su dato biométrico.

En DATAX somos una empresa especializada en materia de protección de datosseguridad de la información y Compliance.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 17 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en materia de protección de datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *