RESUMEN DE LA GUÍA DE LA AEPD SOBRE EL CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS
Documento original resumido: Guía sobre tratamientos de control de presencia mediante sistemas biométricos
1. SISTEMAS Y DATOS BIOMÉTRICOS
Los sistemas de procesamiento de datos biométricos se basan en recoger y procesar datos personales relativos a las características físicas, fisiológicas o conductuales de las personas físicas, entre las que cabe incluir, las características neuronales de estas, mediante dispositivos o sensores, creando plantillas biométricas (también denominadas firmas o patrones) que posibilitan la identificación, seguimiento o perfilado de dichas personas.
El RGPD define en el art. 4.14 los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. En la definición se establece que son datos biométricos todos aquellos que permitan la identificación o autenticación de una persona.
2. LA PLANTILLA BIOMÉTRICA COMO DATO PERSONAL
Identificar a una persona según el RGPD, es determinar su identidad, directa o indirectamente. Asignar un identificador es, pues, un proceso que permite singularizar a un individuo y, por tanto, las acciones dirigidas a él. Un tratamiento que permite singularizar a una persona entre varias utilizando, por ejemplo, un proceso de análisis biométrico conductual que diferencia y señala unívocamente a una persona, es un tratamiento de identificación.
Un dato biométrico contenido en un sistema se almacena en forma de una plantilla o patrón biométrico. Una plantilla biométrica es una forma de escritura de una característica biométrica humana, como un rostro o una huella dactilar, de manera que sea interpretable por una máquina de forma eficiente y eficaz para un fin determinado. La plantilla biométrica no está orientada a ser interpretada por una persona, como una fotografía, sino que está orientada a ser tratada en un proceso automatizado. Esta forma de almacenamiento permitiría singularizar a un individuo y ejecutar acciones de forma automática, perfilar o inferir información sobre un sujeto como actitudes o patrones de comportamiento, etc.
En el caso de operaciones de identificación o autenticación, para que una plantilla biométrica sea eficaz es necesario que las plantillas generadas a partir de dos individuos distintos sean claramente distinguibles. En ese caso, la plantilla actúa como un identificador único de la persona.
3. TRATAMIENTO DEL CONTROL DE PRESENCIA
4. MINIMIZACIÓN DE DATOS Y PROTECCIÓN DE DATOS DESDE EL DISEÑO
Conforme el art. 5.1.c RGPD, en un tratamiento de control de presencia deben tratarse exclusivamente los datos necesarios para la consecución de dicho fin.
Hay que justificar la necesidad de implementar un tratamiento adicional de datos cuando se puedan alcanzar el mismo fin con otro tipo de tratamiento que sea equivalente y menos intrusivo, por lo que es recomendable no limitarse exclusivamente a la selección de recursos tecnológicos, sino que también deben evaluarse otras alternativas en este sentido.
La mayoría de los productos disponibles en el mercado que registran datos biométricos lo hacen con una precisión, detalle o frecuencia que están muy por encima de las necesidades de un tratamiento específico y, por lo tanto, vulneran el principio de minimización.
Se debe aplicar el principio de minimización de datos desde el diseño (art. 25.1 RGPD) incluso cuando está plenamente justificado y legitimado el uso de tecnologías biométricas, por lo que se deberá configurar el sistema para adecuarlo a las necesidades concretas del tratamiento y realizar una evaluación objetiva que determine que no hay recogida de datos innecesarios para alcanzar el fin del tratamiento.
5. BIOMETRÍA EN UN TRATAMIENTO DE CONTROL DE PRESENCIA
El Tribunal de Justicia de la Unión Europea (TJUE) ha establecido una interpretación amplia tanto del concepto de “dato personal” como del concepto de “tratamiento de datos” (cdos. 10 y 11 RGPD, y apdo. 55 Sentencia TJUE de 22 de junio de 2023, C-579/21, Pankki S).
El concepto de “dato personal” no abarca únicamente los datos recabados y conservados por el responsable del tratamiento, sino que incluye también toda la información resultante de un tratamiento de datos personales que se refiera a una persona identificada o identificable.
El concepto de “tratamiento”, al utilizar la expresión “cualquier operación”, el legislador quiso dar a este concepto un alcance amplio, al emplear una enumeración no exhaustiva de operaciones aplicadas a datos personales o conjuntos de datos personales, que comprenden, entre otras, la recogida, el registro, la conservación o incluso la consulta.
5.1. Biometría como uno de los medios para implementar el tratamiento
El empleo de sistemas biométricos para el control de presencia no supone un tratamiento con un fin en sí mismo, sino que es un medio para llevar a cabo operaciones dentro del tratamiento, por lo que implicará un tratamiento adicional de datos, en ese caso biométricos, para los que será necesario evaluar su conformidad con el RGPD
5.2. Identificación y autenticación biométricas
Identificación: proceso por el cual se reconoce a un individuo particular dentro de un grupo, comparándose los datos del individuo que se desea identificar con los datos de cada individuo en el grupo (uno-a-varios).
Autenticación: proceso de probar que es cierta la identidad reclamada por un individuo, comparándose los datos del individuo únicamente con los datos asociados a la identidad reclamada (uno-a-uno).
En un tratamiento de control de presencia, ya sea para el registro de jornada como para el control de acceso (para finalidades laborales o para otras finalidades), que emplee sistemas biométricos, podrían existir diferentes alternativas de implementación, basadas en:
Sin embargo, la casuística podría ser incluso más compleja para tratamientos concretos y el responsable debe describir con detalle las operaciones biométricas que se ejecutan en el marco de un control de presencia en cada caso.
5.3. Finalidades adicionales en un tratamiento de control de presencia a partir de los datos biométricos
Los datos biométricos recogidos en el marco del tratamiento de control de presencia son susceptibles de ser tratados con otros fines diferentes de los iniciales, ya que son tratamientos que, en definitiva, identifican de una manera u otra a una persona; por ejemplo, un registro de jornada podría utilizarse para otras cuestiones: seguridad física, control de acceso a ciertos espacios o recursos de la propia entidad, evaluación de rendimiento laboral, etc.
Todos estos fines, que muchas veces se presentan como ventajas adicionales a la decisión de implementar el tratamiento de registro de jornada o el control de acceso con operaciones biométricas, han de ser considerados tratamientos con finalidades distintas a los efectos de la normativa de protección de datos personales. Por lo tanto, la posibilidad de ejecutar dichos tratamientos depende del cumplimiento de todos los principios, derechos y obligaciones establecidos en el RGPD.
6. DATOS BIOMÉTRICOS Y CATEGORÍAS ESPECIALES DE DATOS
6.1. Identificación y autenticación como categorías especiales de datos
Dentro de los datos de categoría especial enumerados en el art. 9.1. RGPD, se encuentran los “datos biométricos”.
Las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD), sobre el uso de reconocimiento facial en el ámbito de las fuerzas de orden público, determinan, en su apartado 12, que el concepto de dato biométrico abarca tanto la “autenticación” como la “identificación”, y si bien son conceptos distintos, en ambos procedimientos se tratan datos dirigidos a identificar a una persona física, por lo que ambos se incluyen en el concepto de “tratamientos de datos”, y más específicamente, son tratamientos de datos personales de categorías especiales.
La AEPD venía manteniendo en sus guías e informes que la autenticación biométrica quedaba fuera de las categorías especiales de datos. Sin embargo, esta interpretación ha sido superada por las Directrices antes citadas, por lo que la interpretación de esta AEPD ha de adaptarse a las Directrices del CEPD mencionadas. Es decir, se ha de considerar que, al igual que en el caso de identificación, la autenticación biométrica es un proceso que implica el tratamiento de categorías especiales de datos personales.
6.2. Biometría y su vinculación con otras categorías especiales de datos
Se debe tener en cuenta la posibilidad de que, mediante el análisis biométrico, se puedan inferir y recoger otras categorías especiales de datos y, en particular, datos relativos a la salud o datos que revelen el origen racial o étnico entre otros. Por ejemplo, un análisis biométrico de la voz humana puede recoger más de cien parámetros distintos que permiten extraer información de salud, problemas físicos o sicológicos, entre otros. En sistemas biométricos basados en el reconocimiento facial se pueden tratar datos que revelan el origen racial o étnico, y también se puede extraer información de salud, problemas físicos o sicológicos como en el caso de la voz, incluso algunos sistemas de identificación mediante huella dactilar permiten el registro de parámetros como la temperatura o la presión sanguínea.
7. LEVANTAMIENTO DE LA PROHIBICIÓN DE TRATAR CATEGORÍAS ESPECIALES DE DATOS
Únicamente cabe excepcionar la prohibición de tratamiento de los datos de categoría especial cuando concurra alguna de las circunstancias que se especifican en el art. 9.2 RGPD. El responsable tiene la obligación de valorar con diligencia si tiene una razón sólida para tratar categorías especiales que aparezca enumerada en dicho artículo. Y entre esas circunstancias no se encuentra ni el interés legítimo ni la ejecución de un contrato o medidas precontractuales.
7.1. Excepción del art. 9.2.b RGPD: control de presencia para el registro de jornada y control de acceso con fines laborales.
7.1.1. Existencia de una norma de rango legal
En el art. 9.2.b) RGPD se levanta la prohibición cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice una norma con rango de Ley o un convenio colectivo con arreglo también a una norma con rango de Ley que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
Es decir, la norma debe reunir todas las características indispensables como garantía de la seguridad jurídica, expresando todos y cada uno de los presupuestos y condiciones de la intervención, de forma que las limitaciones del derecho fundamental establecidas por una ley pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad.
Por tanto, como se indica en el Dictamen 2/2022, de la Autoridad Catalana de Protección de Datos, la afectación por el derecho a la protección de datos que se derive de la norma debe ser previsible y no se puede considerar previsible una norma que no concrete la posibilidad de utilizar datos biométricos con el fin de realizar el control horario o de acceso.
Esto obliga a reconsiderar la interpretación realizada por esta AEPD en el apartado “Los datos biométricos” del capítulo 4.6 de la Guía “La Protección de Datos en las Relaciones Laborales” de mayo de 2021; y, como también concluye el Consejo de Transparencia y Protección de Datos, en su Dictamen 1/2023, “en la actual normativa laboral española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo”.
La autorización suficientemente específica no se encuentra para el personal laboral, puesto que los artículos 20.3 y 34.9 ET no contienen tal autorización. Tampoco para el personal sometido a una relación jurídica administrativa al no constituirse en necesaria habilitación la previsión relacionada con el cumplimento de jornada y horario a la que alude el art. 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP).
7.1.2. Necesidad
El art. 9.2.b RGPD, con relación al tratamiento en el ámbito del Derecho laboral y de la seguridad y protección social, no solo exige que exista una habilitación legal (o convenio colectivo), sino que impone en primer término el requisito de que el tratamiento sea “necesario”.
El responsable de estos tratamientos, a la hora de proponer operaciones biométricas, debe justificar las circunstancias por las que ya no es posible utilizar los sistemas de registro de presencia que se estaban empleando en el mismo centro hasta ese momento, o que se están empleando en entidades equivalentes. Además, debe justificar que el empleo de otros sistemas existentes como tarjetas, certificados, claves, sistemas contact-less, etc. que evitan el tratamiento de categorías especiales de datos, no son adecuados.
También, hay que tener en cuenta que un tratamiento de datos personales también puede contar en sus operaciones con intervención humana, es decir, no existe una obligación a que se implementen exclusivamente con medios tecnológicos. Dicha intervención humana puede ser el adecuado complemento para otras opciones.
En el mismo sentido, el proceso de información biométrica ha de ser esencial para satisfacer el cumplimiento de la finalidad de registro de presencia, como establece el Dictamen 3/2012 del GT29, sobre la evolución de tecnologías biométricas:
“… es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no sólo lo más adecuado o rentable. Un segundo factor que debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar.”
Por lo tanto, la evaluación de la necesidad ha de superarse mediante evidencias objetivas, con una visión amplia del contexto y evitando guiarse sólo por tendencias tecnológicas. Cuando en la evaluación intervengan elementos distintos a la finalidad del tratamiento o a la protección de derechos, como por ejemplo condicionantes económicos, de empleo, de técnicas de mercado (como la compra impulsiva), o la posibilidad de conseguir el consentimiento para tratamientos adicionales, se ha de realizar una evaluación rigurosa de la proporcionalidad del tratamiento.
En conclusión, tal y como se ha indicado anteriormente, debe tenerse en cuenta el art.5.1.c y el considerando 39 RGPD que indica que los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Nuevamente, se señala que debe realizarse un análisis previo sobre la necesidad de dicho tratamiento para la consecución de la finalidad pretendida por el responsable del tratamiento, en el sentido de que no haya otro medio igual de eficaz y menos intrusivo, antes de la implantación de cualquier sistema; y todo ello debe de ser evaluado desde el principio de protección de datos desde el diseño, focalizando el análisis en los derechos y libertades de las personas cuyos datos se van a tratar, dentro de ese primer paso. Para ello debería realizarse el correspondiente análisis de riesgos y superarse la evaluación de impacto y tener en cuenta el triple juicio de idoneidad, necesidad y proporcionalidad.
7.1.3. Idoneidad
En todo caso, dicha ley (o convenio colectivo) que establece el tratamiento deberá respetar el principio de proporcionalidad, tal y como recuerda la Sentencia del Tribunal Constitucional 14/2003, de 28 de enero:
“La constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan basta con recordar que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si la medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto”
Como establece el Dictamen 3/2012 del GT 29, sobre la evolución de tecnologías biométricas:
“… Un segundo factor que debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar.”
Para que un tratamiento se pueda considerar idóneo, ha de permitir cumplir con la finalidad última del tratamiento con unos niveles adecuados de calidad, teniendo en cuenta que no hay tratamiento que esté libre de errores ni de posibilidad de fraude.
Para ello, es necesario que estén definidas métricas, no solo sobre el rendimiento de los sistemas biométricos, sino también sobre los objetivos de rendimiento necesarios en el tratamiento para el registro de jornada. Es preciso realizar un análisis objetivo sobre la adecuación de las distintas opciones técnicas para el registro de presencia, incluida la biométrica, a dichos requerimientos.
En particular, hay que determinar si puede existir una falta de exactitud de los datos obtenidos con relación a la operación biométrica al no adecuarse al tipo humano medio o estándar según criterio del responsable. Esto se puede materializar en sesgos en los perfilados, identificaciones incorrectas, suplantación de identidad, discriminación en segmentos de población (mayores, discapacitados, tipos raciales, enfermos, etc.) o denegación de acceso a servicios por errores en la captación del dato.
7.2. Excepción del art. 9.2.a RGPD: control de presencia para registro de jornada, control de acceso (con fines laborales o no)
Cabría considerar el levantamiento de la prohibición del tratamiento de datos biométricos mediante la solicitud del consentimiento explícito al interesado (salvo establecimiento expreso contrario a tal sentido de una Ley).
El art. 4.11 del RGPD se refiere al consentimiento del interesado como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales”. La información proporcionada al interesado entre otras cuestiones debe hacerle consciente de los riesgos de dicho tratamiento (Cdo. 39 RGPD), especialmente cuando afecta a personas que se encuentre en situación de vulnerabilidad.
Existen tratamientos que implican el uso de sistemas biométricos, distintos a los de control de acceso como puede ser el participar voluntariamente en una investigación sobre técnicas biométricas de identificación, en los que el interesado podría otorgar el consentimiento de tratar sus datos biométricos libremente con el objeto de participar como sujeto de prueba en dicha investigación. En la finalidad de dicho tratamiento está el tratar datos biométricos y participar como sujeto de prueba de forma libre implica el tratar los datos biométricos.
7.2.1. Registro de jornada y control de acceso con fines laborales.
En el tratamiento de datos que implica el registro de jornada, la persona trabajadora tiene la obligación de participar en el tratamiento cuya finalidad es dicho registro y no el de tratar datos biométricos. En este caso, el consentimiento no aplica sobre el tratamiento de registro de jornada en sí, donde no cabe oponerse, sino sobre el tratamiento adicional que suponen los datos biométricos.
De esta forma, en el tratamiento del registro de jornada y con relación a la libertad del consentimiento para ese tratamiento adicional de datos, el Cdo. 43 RGPD establece que para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos personales en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular.
Las condiciones para considerar que un consentimiento es válido se prevén en el art. 4.11 y 7 RGPD, pudiendo acudirse también a las Directrices 5/2020 del CEPD, sobre el consentimiento. En particular, estas interpretan que, en el contexto de las relaciones laborales, de forma general, se produce un desequilibrio de poder entre la persona trabajadora y la organización que hace que este consentimiento no se proporcione libremente por lo que no debe ser la base jurídica. A mayor abundamiento, en dicho contexto, el consentimiento del interesado no puede servir en ningún caso como circunstancia del levantamiento de una prohibición de tratar categorías especiales de datos. Así, dichas Directrices 5/2020 establecen:
“21. También en el contexto del empleo se produce un desequilibrio de poder. Dada la dependencia que resulta de la relación entre la persona trabajadora y la organización, no es probable que el interesado pueda negar a su empleador el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales. Parece poco probable que una persona trabajadora pudiera responder libremente a una solicitud de consentimiento de su organización para, por ejemplo, activar sistemas de vigilancia por cámara en el lugar de trabajo o para rellenar impresos de evaluación, sin sentirse presionado a dar su consentimiento. Por tanto, el CEPD considera problemático que las organizaciones realicen el tratamiento de datos personales de personas trabajadoras actuales o futuras sobre la base del consentimiento, ya que no es probable que este se otorgue libremente. En el caso de la mayoría de estos tratamientos de datos en el trabajo, la base jurídica no puede y no debe ser el consentimiento de los trabajadores debido a la naturaleza de la relación entre persona trabajadora y la organización.”
Una limitación al uso del consentimiento se hace expresa en las mismas Directrices con relación al recurso al consentimiento en el marco de las AAPP:
“16. El considerando 43 indica claramente que no es probable que las autoridades públicas puedan basarse en el consentimiento para realizar el tratamiento de datos ya que cuando el responsable del tratamiento es una autoridad pública, siempre hay un claro desequilibrio de poder en la relación entre el responsable del tratamiento y el interesado. Queda también claro en la mayoría de los casos que el interesado no dispondrá de alternativas realistas para aceptar el tratamiento (las condiciones de tratamiento) de dicho responsable. El CEPD considera que hay otras bases jurídicas que son, en principio, más adecuadas para el tratamiento de datos por las autoridades públicas.”
Sin embargo, se deja la puerta abierta a que el responsable demuestre que denegar el consentimiento no tendrá consecuencias adversas para el interesado:
“22. No obstante, esto no significa que las organizaciones no puedan basarse nunca en el consentimiento como base jurídica para el tratamiento de datos. Puede haber situaciones en las que puedan demostrar que el consentimiento se ha dado libremente, cuando el hecho de que otorguen o no dicho consentimiento no tenga consecuencias adversas.”
En el caso del registro de jornada, como el interesado tiene la obligación de registrar su jornada, únicamente podría considerarse la existencia de un consentimiento libre a un tratamiento adicional de datos, en este caso biométricos, si el interesado dispone de una alternativa de libre elección para cumplir con dicha obligación. En este sentido, las mismas Directrices interpretan:
“37. El responsable del tratamiento podría argumentar que su organización ofrece a los interesados una elección real si estos pudieran escoger entre un servicio que incluya el consentimiento para el uso de datos personales con fines adicionales, y un servicio equivalente ofrecido por el mismo responsable que no implicara prestar el consentimiento para el uso de datos con fines adicionales. Siempre que exista una posibilidad de que dicho responsable del tratamiento ejecute el contrato o preste los servicios contratados sin el consentimiento para el otro uso o el uso adicional de los datos en cuestión, significará que ya no hay condicionalidad con respecto al servicio. No obstante, ambos servicios deben ser realmente equivalentes.”
Cuando existan opciones realmente equivalentes y disponibles para todas las personas trabajadoras, se podría estudiar si el consentimiento fuese válido, cumpliendo con los requisitos del art. 4.11 RGPD y el resto de las condiciones del art. 7 RGPD.
Sin embargo, y respecto de este requisito de la posible “equivalencia de los tratamientos” hay que tener en cuenta que, si existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar, que permitan que en un momento dado todas las personas trabajadoras opten por otras alternativas, el procesamiento de datos biométricos deja de ser necesario para la implementación del tratamiento.
Al no ser necesario el tratamiento de datos biométricos, no se estaría cumpliendo con lo establecido en el art. 5.1.c RGPD, y como se explicará más adelante, al ser un tratamiento de alto riesgo, no cumpliría por tanto el requisito de “necesidad” que le impone el art. 5.1 y 35.7.b. Si el tratamiento es de alto riesgo, además de ser necesario, tiene que demostrarse la evaluación positiva de necesidad (art. 35.7.b RGPD); que en este caso no se cumpliría, precisamente por esa falta de necesidad.
Por lo tanto, en un tratamiento de registro de jornada implementado con técnicas biométricas, el consentimiento del interesado no levanta la prohibición del tratamiento, con carácter general, al existir una situación en la que existe un desequilibrio con el responsable del tratamiento, como ocurre en el ámbito de una relación laboral (o administrativa/funcionarial), y no superaría la evaluación de necesidad, requisito para tratamientos de alto riesgo.
7.2.2. Control de acceso con fines no laborales
Un análisis similar podría establecerse para el control de acceso con finalidades diferentes a las laborales. El consentimiento debe ser libre, específico, informado e inequívoco. Entre otros, el responsable del tratamiento debe establecer un método alternativo para poder realizar el control de acceso, sin tener ninguna consecuencia para la persona que no quiera utilizar el control de acceso mediante un tratamiento de datos biométricos.
De igual forma que en el caso anterior, debe demostrarse la necesidad objetiva (requisito para tratamientos de alto riesgo ver apartado) y las posibles alternativas, de tal manera que para poder tratar esos datos biométricos no exista otra alternativa que sirva para satisfacer la necesidad identificada y que implique un riesgo menor en los derechos y libertades de las personas físicas.
8. LICITUD DEL TRATAMIENTO
Si no se ha levantado la prohibición del tratamiento de categorías especiales de datos personales, en este caso biométricos, es indiferente que se cuente con una base jurídica de las previstas en el art. 6.1 del RGPD, puesto que ya hay una condición que invalida el tratamiento. Una vez que se ha levantado la prohibición, se debe contar con una de las bases jurídicas del art. 6.1 del RGPD. Es decir, no se debería proponer un tratamiento y, a continuación, buscar una condición de licitud. Al contrario, debería existir una condición (la causa) una base jurídica para que un responsable decida realizar un tratamiento (el efecto).
8.1. Tratamiento de registro de jornada
El registro de jornada es una obligación legal impuesta a la persona trabajadora y la organización (art. 34.9 ET), por lo que la base jurídica del tratamiento de registro de jornada se adecua a lo establecido en el art. 6.1.c RGPD, el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al tratamiento.
En este caso, si el levantamiento de la prohibición de un tratamiento adicional de datos biométricos se ha realizado en base a lo establecido en el art. 9.2.b RGPD, debe existir una norma con rango de ley que ampare dicha excepción y, por lo tanto, dicha norma englobará la licitud del tratamiento de acuerdo con el art. 6.1.c, pero la normativa actual antes citada no es suficiente en los términos previstos en el RGPD.
Por otro lado, en vez del art. 9.2.b RGPD, se ha podido considerar levantar la prohibición de un tratamiento adicional de datos biométricos teniendo en cuenta lo previsto en el art. 9.2.a RGPD. En ese caso, para poder considerar el consentimiento libre han de existir, como se ha expuesto, la posibilidad de implementar opciones equivalentes. Si estas existen en el propio tratamiento, o es factible implementarlas, y son menos intrusivas en relación con los derechos y libertades de los interesados, no se cumpliría, como ya se desarrollado en el apartado anterior, el requisito de la “necesidad” establecido en el art. 6.1.c RGPD.
Si el levantamiento de la prohibición de tratar datos biométricos se ha basado en otras previsiones distintas al art. 9.2.a y al art. 9.2.b, también hay que preguntarse si existen esas otras opciones equivalentes y menos intrusivas para implementar el registro de jornada.
La realidad es que, en la argumentación de muchos responsables al fundamentar el levantamiento de la prohibición en el consentimiento libre al proporcionar alternativas a los interesados, han hecho evidente la posibilidad y la viabilidad de dichas alternativas. Por lo tanto, aunque el levantamiento de la prohibición se haya basado en otras previsiones distintas de las del art. 9.2.a, eso no implica de forma automática que no existan esas alternativas. Puede ocurrir que el responsable ha decidido no implementar las alternativas, en ese caso, el responsable tendrá que justificar de forma objetiva que en su caso concreto sí son necesarias.
El mismo razonamiento aplicaría a cualquiera de las bases jurídicas previstas en el art. 6.1. RGPD, del 6.1.b al 6.1.f, pues siempre se debe cumplir con el requisito de necesidad para la consecución de la finalidad, que esta enunciado en cada una de dichas bases jurídicas.
8.2. Control de acceso con fines laborales o con otras finalidades.
En el caso que el responsable decida basar la licitud de tratar datos biométricos en el art. 6.1.a RGPD en un tratamiento de control de acceso con fines laborales o con otras finalidades distintas a las laborales, se trasladan las conclusiones alcanzadas en el apartado 7.2.
En el caso de fundamentar la licitud de emplear datos biométricos en tratamientos de control de acceso en otros supuestos del art. 6.1 RGPD distintos del consentimiento, se tendrán que atender los requisitos de necesidad, presente en todos ellos, además de los de reserva de ley en las letras c) y d) y también en el caso de la letra f) la superación del análisis de prevalencia entre los intereses legítimos del responsable y los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
9. DECISIONES AUTOMATIZADAS
El art. 22 RGPD establece restricciones y garantías cuando un proceso automatizado sin intervención humana produce efectos jurídicos sobre el interesado o le afecte significativamente de modo similar.
Un tratamiento de control de presencia se podría implementar por parte del responsable como un proceso automatizado basado en un sistema biométrico sin intervención humana que produzca efectos jurídicos sobre el interesado o le afecte significativamente de modo similar. Por ejemplo, cuando un sistema que controle el acceso al lugar deniegue dicho acceso por motivos técnicos y, al impedir el acceso, y sin posibilidad de intervención humana, tenga un impacto de forma automática sobre la persona, ya sea sobre la persona trabajadora en su salario o en su empleo, entre otros. Otro ejemplo es que impida a un interesado el acceso a una determinada actividad o servicio previamente contratado o que limite su libertad de movimientos.
Cuando el responsable configure el tratamiento de control de presencia de esta forma, hay que tener en cuenta que, según el art. 22.3 RGPD, adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, entre dichas medidas, como mínimo deberán figurar el derecho a:
Además, no pueden basarse en las categorías especiales de datos salvo que se base el levantamiento de la prohibición en el consentimiento (9.2.a) o el interés público esencial (9.2.g).
Al no aplicar el art. 9.2.a ni el art. 9.2.g del RGPD, en el caso de que se plantee el control de presencia como un tratamiento en el que hay decisiones automatizadas sin una intervención humana con la competencia para revertir la decisión, no se podrá utilizar un proceso de identificación o autenticación biométrica.
10. GESTIÓN DEL RIESGO Y EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS (EIPD)
El levantamiento de la prohibición de tratar categorías especiales de datos, la existencia de una legitimación para el tratamiento, el principio de minimización de datos y los demás principios, derechos y otras obligaciones establecidas en el RGPD, no concluye con los requisitos que son de obligado cumplimiento para determinar que el tratamiento es conforme al RGPD, y por tanto que se puede llevar a cabo.
Entre otros requisitos, es indispensable que, con carácter previo a cualquier decisión de implantación de un sistema de control de presencia a través de sistemas biométricos, se realice una gestión del riesgo (art. 24.1 RGPD) y desde el diseño y por defecto (art. 25 RGPD) se apliquen las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. En particular, en caso de alto riesgo, deberá llevar a cabo una EIPD que incluya y también supere el triple juicio de idoneidad, necesidad y proporcionalidad estricta establecido en el art. 35.7.b RGPD.
10.1. Alto riesgo
En las “Listas de tipos de tratamiento de datos que requieren evaluación de impacto relativa a protección de datos” publicadas por la AEPD conforme al art. 35.4 RGPD, y aprobadas por el CEPD, fueron incluidos de una serie de criterios no exhaustivos para determinar el alto riesgo de un tratamiento.
Un tratamiento de registro de presencia que incluya procesos biométricos se considerará de alto riesgo por, al menos, el cumplimiento de los criterios correspondientes a los números 4 (categorías especiales), 5 (biométricos) y 10 (NNTT) de la lista antes citada.
En las Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo del CEPD, en el apartado 5.1 manifiesta la importancia de la evaluación de impacto, de un análisis de la necesidad, de la proporcionalidad y la aplicación de la minimización de datos. Estas condiciones, que son directamente aplicables para las operaciones biométricas mediante reconocimiento facial en tratamientos de control de presencia, se pueden extender al empleo de otros sistemas biométricos para implementar dicho tratamiento.
En cuanto a los sistemas biométricos que sean implementados con técnicas de inteligencia artificial, habrá que tenerse en consideración la clasificación de dichos sistemas como de alto riesgo según el Anexo III de la propuesta de Regulación de Inteligencia Artificial y del cumplimiento de los requisitos que dichos sistemas tendrán que cumplir para poder ser integrados en un tratamiento de registro de presencia.
Un tratamiento de alto riesgo requerirá del responsable la realización, previa al inicio de tratamiento, de la evaluación de impacto relativa a la protección de datos establecida en el art. 35 RGPD.
10.2. Realización y superación de una EIPD
La superación de una EIPD exige demostrar la idoneidad, necesidad y proporcionalidad del tratamiento y gestionar desde el diseño los riesgos específicos del tratamiento, con la aplicación práctica de medidas orientadas específicamente a minimizar dichos riesgos, de forma que se garantice un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento, tal como se establece en el art. 35 RGPD. Esto implicaría que, de acuerdo con el principio de responsabilidad proactiva (art. 5.2 RGPD) el responsable del tratamiento debe ser capaz no sólo de demostrar la superación de la EIPD, sino también de aportar toda la documentación elaborada con ocasión de la realización de la EIPD y justificativa de los resultados obtenidos en la misma y de las medidas, organizativas, jurídicas y técnicas, adoptadas al respecto.
También se ha de incluir la documentación relativa a la participación del DPO en su caso, entre otros. Además, será obligatoria la consulta previa a la autoridad de control en caso de que el responsable no haya tomado medidas que permitan mitigar el riesgo tal y como se exige en el art. 36 RGPD.
Hay que tener en cuenta que una gestión del riesgo para los derechos y libertades no resuelve la inexistencia de una circunstancia de levantamiento de la prohibición de tratar categorías especiales, la inexistencia de una condición de licitud, el no cumplimiento de las condiciones del art. 22, del principio de minimización de datos y de la aplicación de los principios, derechos y otras obligaciones establecidas en el RGPD.
Con relación a las operaciones biométricas en un tratamiento de control de presencia, estas pueden emplear distintos sistemas, algunos de forma simultánea, y, a su vez, una misma técnica biométrica se puede implementar de distintas formas. Las operaciones con datos biométricos en un tratamiento concreto tendrán un grado distinto de intrusión e impacto en la privacidad de los individuos que dependerá de la técnica empleada, pero también de la propia definición del tratamiento, su naturaleza, el ámbito o alcance en el que se va a desarrollar, su contexto, en particular, si el tratamiento se configura como una decisión automatizada.
La AEPD, en la guía “La Protección de Datos en las Relaciones Laborales”, en el apartado “Los datos biométricos” del capítulo 4.6, recomienda algunas medidas para tratamientos generales de registro de presencia mediante sistemas biométricos para gestionar el riesgo, que se pueden extender al control de presencia en general:
Las medidas aquí expuestas no son exhaustivas ni una lista cerrada. Además, la validación de los sistemas biométricos empleados en un tratamiento debe de asegurarse “desde el diseño” como exige el art. 25.1 RGPD y con las recomendaciones que establece en la Guía de Privacidad desde el Diseño.
10.3. Superación del análisis de idoneidad, necesidad y proporcionalidad
El RGPD exige en el art. 35.7.b que, en un tratamiento de alto riesgo, con carácter previo a cualquier decisión de implementación, se supere el triple juicio de idoneidad, necesidad y proporcionalidad estricta.
En cuanto al análisis de idoneidad y necesidad, nos remitimos a lo ya comentado con relación a ambos requisitos. Para establecer la idoneidad del tratamiento biométrico hay que evaluar que exista un vínculo lógico y directo entre el tratamiento y el objetivo perseguido, y determinar la eficacia real del tratamiento, es decir, determinar mediante prueba objetiva que éste es capaz de alcanzar un nivel mínimo de efectividad en resolver la necesidad planteada.
En cuanto a superar el análisis de estricta necesidad, hay que demostrar que resuelve un problema que debe ser real, presente o inminente, y crítico para el funcionamiento del tratamiento. En ese sentido, el TEDH estableció que “necesario no es sinónimo de indispensable y tampoco tiene la flexibilidad de expresiones como admisible, ordinario, útil, razonable o deseable”. No basta la mera conveniencia o rentabilidad. Además, hay que evaluar el alcance, la extensión y la intensidad de las interferencias en términos de impacto sobre los derechos fundamentales, explicando con pruebas por qué otras alternativas posibles no son suficientes para satisfacer esta necesidad de forma suficiente. Incluso, a la hora de evaluar las opciones, hay que tener en cuenta la posibilidad de emplear una combinación de medidas, tanto automatizadas como no automatizadas, organizativas, legales o técnicas.
En el caso del registro de jornada, el interesado tiene la obligación de participar en el tratamiento de registro de jornada y no hay levantamiento de la prohibición basándose en los artículos del 9.2.b al 9.2.g. Entonces, si el tratamiento adicional de datos biométricos se pretende basar en el consentimiento, este ha de ser libre, y para que sea libre, el responsable ha de disponer de opciones equivalentes al tratamiento biométrico. Entonces, si esas opciones equivalentes existen, el tratamiento biométrico no es necesario. Por lo tanto, un tratamiento de registro de jornada implementado con técnicas biométricas, y que levante la prohibición del 9.1 del RGPD basándose en un consentimiento libre del interesado, no supera un análisis de necesidad en el marco de una EIPD.
Con relación a la superación de la evaluación de la proporcionalidad en sentido estricto, hay que establecer si el tratamiento de datos biométricos es una medida ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto. Para ello hay realizar una evaluación del nivel de intrusismo en los derechos y libertades del interesado, estimando entre otros, la naturaleza de la injerencia, o como se limitan o se ponen en riesgo los derechos y libertades; el alcance/extensión del tratamiento; el contexto en que la medida deberá aplicarse o la naturaleza de la actividad objeto de la medida; si pueden aparecer intrusiones colaterales, incluso injerencias en la intimidad de personas distintas a los sujetos directamente afectados por la medida.
Así, el Dictamen 3/2012 del GT 29, sobre la evolución de tecnologías biométricas, afirma que hay que ponderar objetivamente la pérdida de intimidad con respecto a los beneficios esperados. En particular, el que el tratamiento biométrico suponga un ahorro que no sea significativo, no es justificación suficiente para llevar a cabo el tratamiento.
“Al analizar la proporcionalidad de un sistema biométrico propuesto… Un tercer aspecto a ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada.”
10.4. Implementación
Hay una gran diferencia entre el concepto de operación biométrica y su implementación. La implementación concreta implica selección de sensores, protocolos de comunicaciones, librerías de desarrollo, dispositivos en los que se integran (p. ej. móviles o cajeros automáticos), almacenamiento (p. ej. en la nube), etc. Cada uno de ellos, tendrá distintos grados de calidad, certificación, auditoría, seguridad, implicación de terceros, etc.
En la implementación concreta de un tratamiento de control de presencia con técnicas biométricas pueden surgir riesgos adicionales de protección de datos, además de que también pueden surgir potenciales incumplimientos, como podrían ser transferencias internacionales sin las garantías adecuadas. Incluso, aunque inicialmente se hubieran solventado estas situaciones, éstas podrían sobrevenir como consecuencia de una renovación o actualización de sus componentes una vez que el sistema hubiera sido puesto en producción.
10.5. Contexto del tratamiento
Con relación a lo anterior, al igual que la operación biométrica, se ha de evaluar todo el tratamiento en su conjunto teniendo en cuenta el contexto social y los efectos colaterales e imprevistos sobre los derechos y libertades que, al incorporar dichas operaciones, se han producido o se están produciendo en el entorno (desvío de finalidades, impactos sociales, cambios normativos, cambios religiosos o culturales, conflictos, etc.).
10.6. Medidas mínimas por defecto
En el planteamiento de un control de presencia con operaciones biométricas es necesario establecer medidas técnicas y organizativas apropiadas desde el diseño a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Estas medidas, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, deben ser las adecuadas para gestionar el riesgo (art. 24 y 25.1 RGPD) e, independientemente del nivel de riesgo, deben implementar protección de datos por defecto (art. 25.2 RGPD).
Entre las medidas mínimas por defecto, la AEPD, en la guía “La Protección de Datos en las Relaciones Laborales”, en el apartado “Los datos biométricos” del capítulo 4.6, ya estableció el siguiente conjunto de garantías, que se pueden extender a todo tratamiento de control de presencia; todas son necesarias, pero no suficientes, y han de ejecutarse, evaluarse objetivamente y documentarse, para que el control de acceso basado en procesos biométricos cumpla con los requisitos de proporcionalidad del tratamiento:
10.7. Brechas de datos personales
La realidad de la tecnología es que cada día aparecen nuevas vulnerabilidades de seguridad. En el marco del tratamiento donde se encuentra la operación biométrica, el responsable tiene que plantear posibles escenarios de brechas, para, como resultado de su análisis, implementar garantías para minimizar no solo la probabilidad de que se produzca, sino de minimizar el impacto sobre los derechos y libertades de los ciudadanos en caso de que se materialicen.
Los escenarios que se deben plantear son, al menos, el filtrado o pérdida de patrones biométricos, uso malicioso de patrones almacenados, intrusión en el sistema de análisis biométrico y en sus resultados, intercepción de la comunicación entre sistemas, ataques de denegación de servicio, discontinuidad de servicios propios o de terceros, etc. Todos los escenarios hay que analizarlos para medir el grado de impacto que puede ocasionar en los interesados.
Asimismo, hay que conocer qué brechas se están produciendo actualmente y que podrían determinar la falta de adecuación de una técnica biométrica concreta, de la biometría en general o de las garantías implementadas. Esto supone el realizar una evaluación continua del tratamiento en función de los eventos que se estén produciendo en el contexto del social y tecnológico.
11. SUBCONTRATACIÓN DE PERSONAS TRABAJADORAS
En el caso de subcontratación de personas trabajadoras, si el contratante exige por contrato sistemas biométricos para el registro de jornada o control de acceso, dicha exigencia ha de cumplir con lo establecido en este documento.
La empresa contratada, como encargado del tratamiento, también tiene la obligación, como establece el art. 28.3 RGPD de informar inmediatamente al responsable si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos. Es decir, si no se cumplen las disposiciones del RGPD, la empresa contratada no tiene la obligación de realizar el registro de jornada o control de acceso implementando técnicas biométricas.
12. CONCLUSIONES
Con relación al tratamiento de control de presencia mediante técnicas biométricas de identificación o autenticación, los responsables del tratamiento han de tener en cuenta que:
ANÁLISIS DE LA GUÍA PUBLICADO POR PRIVACY DRIVER