Blog

Protecció de Dades

Ús de les dades biomètriques en l’àmbit laboral

18 gener, 2023

Amb el canvi de criteri de l’Agència Espanyola de Protecció de Dades (AEPD), cada vegada són més les consultes, preguntes i dubtes d’empreses sobre l’ús de dades biomètriques i el motiu pel qual han de canviar el seu mecanisme de control,ja sigui per al control de la jornada laboral o el control d’accés. I encara que en un article anterior expliquem el Dictamen emès per la Autoritat Catalana de Protecció de Dades relatiu a l’ús de dispositius de control de presència al lloc de treball mitjançant reconeixement facial, avui dia, són moltes les empreses que continuen utilitzant aquests mètodes tan intrusius. Per aquest motiu, en DATAX us hem preparat aquest article, amb la finalitat d’exposar els fets que han motivat el canvi de criterio I donar solució a totes les qüestions plantejades

En primer lloc, és necessari definir què és una dada biomètrica: Segons la definició del Reglament General de Protecció de Dades (RGPD), les dades biomètriques són aquelles dades personals referides a les característiques físiques, fisiològiques o conductuals d’una persona que possibilitin o assegurin la seva identificació única. És a dir, l’empremta digital, l’ADN, les característiques biomètriques de l’iris o facials, etc.

Aquesta classe de dades personals és considerada com a dades de caràcter especial i, en aquest sentit, l’article 9 del RGPD ve a establir que queda prohibit el tractament de dades biomètriques dirigides a identificar de manera unívoca a una persona física. Sense bé, existeixen excepcions que permeten tractar aquest tipus de dades com, per exemple: que l’interessat hagi donat el seu consentiment explícit.

En segon lloc, ja no cap la diferenciació entre identificació de l’interessat o autenticació/ validació del mateix mitjançant l’ús de la biometria. El Comitè Europeu de Protecció de Dades, en les recents Directrius 05/2022, ha conclòs que les dades biomètriques sempre seran dades de categoria especial, seguint així el mateix criteri que la APDCAT, CNIL, ICO i Il Garant.

Així doncs, per a utilitzar dades biomètriques és necessari complir uns certs requisits que, com veurem a continuació, resulten impossibles de satisfer en l’àmbit laboral. Els motius són dos:

– La licitud del tractament.

– La proporcionalitat.

Totes dues autoritats de control (APDCAT i l’AEPD) conclouen que no hi ha una base legitimadora per a tractar aquest tipus de dades, encara que l’Estatut de Treballadors (ET) preveu la possibilitat que l’empresari adopti mesures de vigilància i control per a la jornada laboral, la normativa no determina el com. A més, segons una Sentència del Tribunal Constitucional, si utilitzéssim el ET com a base legitimadora, aquest hauria de concretar l’ús de dades de categories especials i les seves garanties.

D’altra banda, si ens basem en el consentiment com a base legitimadora, hem de tenir en compte que es considera consentiment “tota manifestació de voluntat lliure, específica, informada i inequívoca” i en el cas de dades de categories especials, tal consentiment ha de ser explícit (art. 9.2.a RGPD). En el cas d’usar dades biomètriques en àmbit laboral, veiem que:

– 1r-No és un consentiment lliure pel fet que es planteja com l’única via per al control de la jornada.

– 2n-Hi ha un desequilibri de poder donada la relació entre l’ocupador i empleat, per la qual cosa el subjecte es pot sentir obligat a donar el seu consentiment.

 

En altres paraules, no existiria base legitimadora per a tal tractament de dades. Així mateix, també hem de tenir en compte que, sempre que l’empresa vulgui realitzar un tractament de dades biomètriques, aquesta ha de comptar amb una avaluació d’impacte. Respecte de les Avaluacions d’Impacte (“DPIA”), l’AEPD declara expressament que “en qualsevol cas, amb caràcter previ a la decisió sobre la posada en marxa d’un sistema de control d’aquest tipus i tenint en compte les seves implicacions, tractament de dades biomètriques dirigides a identificar de manera unívoca a una persona física, seria preceptiu dur a terme una avaluació d’impacte relativa a la protecció de dades de caràcter personal”.

És per aquest motiu que, qualsevol tractament de dades que impliqui el recaptat i ús de dades biomètriques requerirà de la prèvia realització d’una avaluació d’impacte en la privacitat de les persones, a través de la qual pugui avaluar-se:

El judici d’idoneïtat, és necessari determinar si el tractament és imprescindible per al fi que es persegueix.

El judici de necessitat, cal determinar si la finalitat perseguida no pot aconseguir-se d’una altra manera menys lesiu o invasiu, preguntar-se si existeix un tractament alternatiu igual d’eficaç i menys invasiu.

El judici de proporcionalitat, la gravetat del risc i la seva intromissió en la privacitat ha de ser adequada a l’objectiu perseguit i proporcionada.

En conclusió, i atenent, als principis i fonaments del RGPD, resulta obligatori triar les tecnologies que resultin menys intrusives des del punt de vista de la protecció de dades.

A DATAX, entenem que pugui resultar un inconvenient, modificar un sistema biomètric que actualment funciona i que els pot semblar la millor via per al control de la jornada laboral o bé, el control d’accés a les instal·lacions, no obstant això, l’AEPD ja s’ha posicionat sobre aquest tema i ja ha sancionat a empreses que utilitzen tal sistema amb aquestes finalitats. La nostra recomanació és triar un altre sistema menys intrusiu, per exemple, targetes personals o codis d’accés., No obstant això la decisió final correspon en última instància a l’organització a l’ésser la Responsable del tractament de les dades.

A DATAX som una empresa especialitzada en matèria de protecció de dades, seguretat de la informació i Compliance.

Oferim un servei de consultoria integral per a adequar a la seva organització a tots els requisits del Reglament Europeu (RGPD 2016/679) relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, d’obligat compliment des del 25 de maig 2018.

Més de 18 anys d’experiència en l’adequació de tota mena d’organitzacions i sectors d’activitat, inclòs el sector públic i privat ens avalen.

Més de 10.000 clients confien ja en els nostres coneixements i professionalitat en la matèria.

Laura Morató Pascual

Asesora legal especialista en Dret Digital i Protecció de Dades

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *