• RESTRICCIONS IMPORTANTS A L’ÚS DE DADES BIOMÈTRIQUES
• ENDURIMENT DEL POSICIONAMENT DE L’AEPD. CONCLOU QUE LA LEGISLACIÓ ESPANYOLA NO EMPARA LA UTILITZACIÓ DE DADES BIOMÈTRIQUES AMB FINALITATS DE CONTROL DE PRESÈNCIA I D’ACCESSOS.
• S’HAN DE DEIXAR D’UTILITZAR SISTEMES BIOMETRICS PEL REGISTRE DE LA JORNADA I CONTROL D’ACCESSOS?
El passat 23 de novembre l’AEPD va publicar una Guia sobre l’ús de sistemes biomètrics pel control de presència i d’accessos.
De conformitat amb l’Art. 9 del RGPD (UE) 679/2016 el tractament de les dades biomètriques està prohibit i només es pot dur a terme en determinades circumstàncies.
En efecte, les dades biomètriques com l’empremta dactilar, l’iris, el reconeixement facial, de conformitat amb l’art. 9 del RGPD, són tractaments de dades especials d’alt risc, de manera que per poder tractar-les és necessari que existeixi una circumstància que aixequi la prohibició del seu tractament i una condició que el legitimi.
L’AEPD a la GUIA que acaba de publicar imposa les següents restriccions al tractament de dades biomètriques:
1. En primer lloc, puntualitza que “La utilització de tecnologies biomètriques d’identificació i autenticació en el control de presència suposa un tractament d’alt risc que inclou categories especials de dades.
2. En la implementació del control de presència cal que les empreses compleixin els principis de minimització i de protecció de dades des del disseny i per defecte, utilitzant mesures alternatives equivalents, menys intrusives, i que tractin les menys dades addicionals.
3. Per poder utilitzar sistemes biomètrics és necessari que existeixi una circumstància per a aixecar la prohibició de tractar les categories especials de dades i, a més, una condició que legitimi el tractament, diferenciant els dos supòsits següents:
› En el cas de registre de jornada i control d’accés amb finalitats laborals, l’AEPD estableix que si l’aixecament de la prohibició es basa en l’art. 9.2.b), el responsable ha de comptar amb una norma amb rang de llei que concreti la possibilitat d’utilitzar dades biomètriques per a aquesta finalitat, que NO es troba en l’actual normativa legal espanyola.
En el cas de registre de jornada o control d’accés en l’àmbit laboral, el consentiment del treballador TAMPOC pot aixecar la prohibició del tractament, ni ser una base per a determinar la licitud, en existir de manera general una situació de desequilibri entre l’interessat i el responsable del tractament.
Per tant, dels anteriors pronunciaments de l’AEPD cal concloure que en l’àmbit laboral no existeix cap norma amb rang de llei que legitimi a les empreses espanyoles a utilitzar sistemes biomètrics, a la vista de la legislació actual espanyola i aixequi la prohibició del RGPD. El Consentiment dels treballadors tampoc és suficient per aixecar la prohibició que recull l’art. 9 del RGPD.
› Per altra banda, per al cas del control d’accés fora de l’àmbit laboral (per exemple en centres clubs esportius, centres educatius, centres de lleure …), l’execució d’un contracte no és una circumstància que aixequi la prohibició segons l’Art.9.2 RGPD.
El consentiment de l’afectat (usuaris de clubs centres esportius, …) tampoc pot ser una circumstància que aixequi la prohibició, en ser un tractament d’alt risc, i no superar el requisit de necessitat (article 35.7b)
Per tant, fora de l’àmbit laboral tampoc existeix legitimació suficient per a l’ús de sistemes i dades biomètriques.
4.Qualsevol utilització de les dades biomètriques amb finalitats addicionals a la de control de presència, haurà de tenir les seves pròpies circumstàncies d’aixecament de la prohibició i de condicions que ho legitimin.
5. La GUIA també recalca que, en qualsevol cas, prèviament a iniciar cap tractament de dades biomètriques és obligatori realitzar i superar favorablement una Avaluació d’Impacte (AIPD) en la que caldrà analitzar i documentar la superació de la triple anàlisi d’idoneïtat, necessitat i proporcionalitat del tractament de dades biomètriques.
6.Superats tots els anteriors requisits de compliment dels principis generals del RGPD, aleshores, es poden utilitzar sistemes biomètrics, sent necessari implantar almenys les següents mesures:
√ Cal Informar els treballadors, o persones afectades, sobre el tractament biomètric i els riscos elevats associats a aquest.
√ S’ha de permetre que es pugui revocar el vincle d’identitat entre la plantilla biomètrica i la persona física.
√ S’han d’implementar mitjans tècnics per a assegurar-se la impossibilitat d’utilitzar les plantilles per a qualsevol altre propòsit.
√ Utilitzar xifratge per protegir la confidencialitat, disponibilitat i integritat de la plantilla biomètrica.
√ Utilitzar formats de dades o tecnologies específiques que impossibilitin la interconnexió de bases de dades biomètriques i la divulgació de dades.
Finalment, les mesures que l’AEPD recomana per minimitzar el risc són les següents:
o La utilització de tecnologies biomètriques hauria de basar-se a utilitzar dispositius sota el control exclusiu dels usuaris.
o Es recomana que la presa de les dades biomètriques es realitzi de manera conscient per l’individu, i fins i tot amb l’exigència d’una acció positiva per a iniciar el processament de dades biomètriques
o Evitar fer emmagatzematge centralitzat de les plantilles biomètriques.
o Revisar i actualitzar les mesures sempre que sigui necessari.
Poden consultar la Guia completa de l’AEPD sobre els sistemes biomètrics aquí.
