¿Prohíbe la AEPD tratar datos biométricos para control de acceso?

Hace escasos días, la Agencia Española de Protección de Datos (AEPD) publicó la esperada Guía sobre tratamientos de control de presencia mediante sistemas biométricos que determina los criterios para el tratamiento de control de presencia mediante sistemas biométricos (por ejemplo, reconocimiento facial o huella dactilar) de acuerdo con el Reglamento general de protección de datos (RGPD).

A continuación analizamos los aspectos más relevantes de la nueva Guía de la AEPD

Cambio de criterio: autenticación vs identificación

En primer lugar, debe indicarse es que la AEPD modifica su criterio en esta Guía respecto de la identificación y autenticación establecido en su anterior Guía de relaciones laborales y protección de datos, donde señalaba que la autenticación (esto es la identificación electrónica de una persona con datos del individuo únicamente, comúnmente denominado identificación 1-a-1) no conllevaba un tratamiento de categorías especiales de datos.

Ahora, no obstante, en línea con el criterio del Comité Europeo de Protección de Datos en sus Directrices 05/2022, entiende que ambos tratamientos (es decir, tanto la identificación y como la autenticación) conllevan el tratamiento de datos especialmente protegidos. Esto es de gran importancia puesto que el RGPD establece la prohibición general de tratar datos especialmente protegidos (artículo 9.1 del RGPD). Es decir, no se pueden tratar datos especialmente protegidos (datos genéticos, datos biométricos, datos relativos a la salud, etc.) salvo que se cuente con una base de legitimación “especial” del artículo 9.2 del RGPD.

En este sentido, con el nuevo criterio adoptado por la AEPD, las empresas –en caso de que sus sistemas estuvieran basados en la autenticación– deberán buscar una base de legitimación del artículo 9.2 del RGPD que levante la prohibición general.

Bases de legitimación aplicables

Si entendemos que tanto los sistemas de identificación como los de autenticación se basan en el tratamiento de datos biométricos, las empresas deberán contar con una base de legitimación del artículo 9.2 del RGPD que evite la prohibición general de tratar estos datos.

Entre las bases “especiales” que vienen recogidas en el citado artículo, la AEPD entiende que solo podrían ser de aplicación las siguientes bases legales:

• La existencia de una norma de rango legal que obligue a la empresa a tratar esos datos (9.2.b del RGPD);
• El consentimiento explícito del interesado (empleado o tercero que acceda a las instalaciones), en virtud del artículo 9.2.a del RGPD.

Hasta la fecha, nuestro criterio era que, siempre que las empresas quisieran tratar los datos biométricos de sus empleados, solicitasen su consentimiento explícito (artículo 9.2.a del RGPD) y, al mismo tiempo, facilitasen una alternativa como, por ejemplo, facilitar el acceso mediante tarjeta.

Esta recomendación es aceptada por la AEPD en su nueva Guía (con ciertas salvedades como indicaremos a continuación):

“En el caso del registro de jornada, como el interesado tiene la obligación de registrar su jornada, únicamente podría considerarse la existencia de un consentimiento libre a un tratamiento adicional de datos, en este caso biométricos, si el interesado dispone de una alternativa de libre elección para cumplir con dicha obligación.”

Ahora bien, la AEPD entiende que si se ofrece un medio equivalente para el control de acceso (como sucede con las tarjetas) el tratamiento de datos biométricos deja de ser necesario para la implementación del tratamiento y, por tanto, no se estaría cumpliendo con el principio de minimización de datos recogido en el artículo 5.1.c del RGPD.

No obstante, la AEPD sí considera adecuado el tratamiento de los datos biométricos para el control de acceso basado en el consentimiento de los interesados siempre que se justificase que el medio alternativo ofrecido a los empleados o terceros no es equivalente al del control biométrico, es decir, que la finalidad que se pretende (control de acceso) no se alcanza del mismo modo o con la misma seguridad.

En cualquier caso, se deberá realizar un análisis objetivo de la medida, tal y como viene explicado más adelante.

A una conclusión similar llega la AEPD al excluir -con salvedades- la posibilidad de aplicar la base de legitimación especial basada en la existencia de una norma de rango legal que obligue a la empresa a tratar esos datos (artículo 9.2.b del RGPD). En este caso, la AEPD señala que:

“La autorización suficientemente específica no se encuentra para el personal laboral, puesto que los artículos 20.3 y 34.9 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, no contienen tal autorización. Tampoco para el personal sometido a una relación jurídica administrativa al no constituirse en necesaria habilitación la previsión relacionada con el cumplimento de jornada y horario a la que alude el art. 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP), aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre.”

Sin perjuicio de lo anterior, la AEPD recuerda que para aplicar el artículo 9.2.b del RGPD es preciso respetar el principio de proporcionalidad, lo que exige que el tratamiento en cuestión, además de necesario debe resultar idóneo para la finalidad prevista, así como proporcionado en sentido estricto (que ocasione más beneficios para el interés general que perjuicios sobre otros bienes o valores en conflicto).

Control objetivo del sistema y alternativas

En relación con lo anterior, la AEPD entiende que para poder basar el tratamiento de los datos biométricos en estas bases de legitimación “especiales”, la empresa debe poder acreditar objetivamente que dichos sistemas de tratamiento son necesarios e idóneos, para lo que se deberá realizar:

(i)  Un análisis de riesgos

(ii)  Una evaluación de impacto, y

(iii) Un test de idoneidad, necesidad y proporcionalidad.

Si bien lo anterior es cierto, resulta de interés añadir que, de acuerdo con el criterio de la AEPD arriba indicado, sí sería una opción viable establecer el control de acceso mediante biometría vía Convenio Colectivo o, en su defecto, justificar en el interés público esencial el uso de estos sistemas en condiciones específicas de seguridad por motivos justificados.

En cualquier caso, estos tres “exámenes” o pruebas ya deberían haberse realizado previamente a la publicación de esta nueva Guía, aunque ahora se recomienda la revisión de acuerdo con el nuevo criterio de la AEPD.

De hecho, la AEPD ha impuesto varias sanciones (todas alrededor de los 30.000 euros) por no llevar a cabo este control objetivo en el sistema de registro.

Conclusiones

En conclusión, si bien la AEPD no prohíbe de facto el uso de controles biométricos para el control de acceso, sí hace muy difícil su utilización.

Por lo anterior, desde Cuatrecasas recomendamos que, a raíz de este nuevo criterio, se paralice el control de acceso por medios biométricos (huella o reconocimiento facial, entre otros) y se lleve a cabo un nuevo control técnico y legal objetivo y, en concreto, realizando (i) un análisis de riesgos, (ii) una evaluación de impacto, y (iii) un test de idoneidad, necesidad y proporcionalidad, que analizase estos nuevos aspectos.