Blog

Protecció de Dades

Reconeixement facial

Dictamen de l’APDCAT sobre el reconeixement facial

30 març, 2022
Dictamen de l’APDCAT sobre el reconeixement facial

El passat 2 de Febrer l’Agència Catalana de Protecció de Dades (APDCAT) va emetre un dictamen sobre una consulta formulada per un Ajuntament relatiu a conformitat a la normativa de protecció de dades de l’ús de dispositius de control de presència al lloc de treball mitjançant reconeixement facial. En aquest dictamen resol que:

  1. Les empremtes dactilars, imatges facials i lectures de l’iris, entre d’altres, es coneixen com a dades biomètriques i són dades personals de categoria especial (art. 9.1 RGPD).
  1. El tractament de dades especials està prohibit de forma genèrica per la situació de vulnerabilitat que genera als interessats. Les excepcions d’aquesta prohibició es formulen a través d’una llista tancada (art. 9.2 RGPD). Aquesta inclou dos supòsits que podrien ser d’aplicació en el marc del registre de la jornada laboral o el control d’accessos:
  • Consentiment de l’interessat (art. 9.2.a RGPD).

Respecte de la validesa d’aquesta excepció, a l’expositiu IV del dictamen s’estableix que “En definitiva, la normativa de protecció de dades no admet amb caràcter general el consentiment com a base jurídica legitimadora dels tractaments duts a terme per les administracions públiques o els empresaris per al control en l’entorn laboral, atès el desequilibri de poder que acostuma a produir-se entre les relacions d’aquells amb els interessats, que impedeix que el consentiment pugui considerar-se lliure.”

Així doncs, no es pot fonamentar l’ús de la biometria a través del consentiment dels treballadors.

  • Compliment d’obligacions legals i/o l’exercici de drets específics del responsable del tractament o de l’interessat en l’àmbit del Dret laboral i de la seguretat i protecció social (art. 9.2.b RGPD).

A llarg del dictamen i particularment a les conclusions d’aquest, s’exposa que no existeix en l’actualitat cap disposició legal amb rang de llei o conveni col·lectiu que habiliti l’ús de dades biomètriques, pel que l’única alternativa seria un pacte o acord resultat de la negociació col·lectiva. En aquest cas, “abans de la implantació d’un sistema d’aquest tipus, cal fer una avaluació de l’impacte sobre la protecció de dades a la vista de les circumstàncies concretes en què es dugui a terme el tractament per determinar-ne la licitud i la proporcionalitat, inclosa l’anàlisi de l’existència d’alternatives menys intrusives, i establir les garanties adequades.”

  1. Atenent a la licitud i proporcionalitat requerides i la disponibilitat de mètodes menys intrusius, l’expositiu IV del dictamen indica els següents punts: 
  • Cal optar per altres sistemes de control que, sense utilitzar categories de dades especialment protegides, puguin permetre assolir la mateixa finalitat.
  • Atenent al principi de minimització, resulta obligatori escollir les tecnologies que resultin menys intrusives des del punt de vista de la protecció de dades.  Vinculant-ho amb el punt anterior, s’estableix que el principi de minimització no es manifesta només a l’hora d’optar per alternatives que no impliquin el tractament de dades personals, o de dur a terme el tractament de dades de manera que s’emprin les dades mínimes indispensables, sinó que també ha de comportar que si es pot assolir una determinada finalitat sense haver de tractar dades de categories especials, aquesta opció ha de prevaldre davant altres opcions que sí que impliquin el tractament d’aquests tipus de dades.
  • Existeixen mètodes alternatius. El dictamen proposa “per exemple, (…) la utilització de targetes personals o altres tipus d’objectes (token) en un sistema de marcatge, la utilització de codis personals, la visualització directa del punt de marcatge o la utilització de sistemes de videovigilància on quedi constància de l’hora d’entrada o sortida poden constituir, per si mateixos o en combinació amb algun dels altres sistemes disponibles, mesures eficaces per dur a terme el control”.
  1. En cas de voler continuar utilitzant característiques físiques com a mètode de registre lícit, cal evitar fer-ne un tractament com és la identificació, ja que els dispositius o sistemes emmagatzemen les plantilles, imatges o algoritmes que deriven de les dades biomètriques dels treballadors. L’única manera de fer-ho respectant la normativa en protecció de dades seria a través de la autenticació, que implica que l’empresa NO emmagatzema cap tipus de dada, on el treballador fos portador de la seva pròpia plantilla i la validés, posteriorment, amb la seva dada biomètrica.

A DATAX som una empresa especialitzada en matèria de protecció de dades, seguretat de la informació i Compliance.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 17 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *