La AEPD (Agencia Española de Protección de Datos) acaba de actualizar los criterios sobre la adecuación y proporcionalidad del uso de sistemas de biometría para autenticación.
Ante esta nueva realidad, la AEERC (Asociación Española de Expertos en la Relación), ha resumido las claves de esta actualización de la AEPD, una cuestión, que para los responsables de la AEERC, es necesaria pero encierra cierta controversia en alguno de sus puntos:
Alto riesgo y categorías especiales de datos
El uso de sistemas de biometría en control de presencia o acceso implica tratar Categorías Epeciales de datos considerados de alto riesgo según, el RGPD.
Principio de minimización
La recogida y tratamiento de datos biométricos debe ser estrictamente necesario y no exceder lo imprescindible.
Si existe una alternativa menos intrusiva (como tarjetas o PIN) se debe optar por ella
Necesidad y proporcionalidad
Antes de implementar sistemas de biometría, hay que demostrar:
1. Idoneidad: ¿el sistema es adecuado para el fin?
2. Necesidad: ¿no existe opción menos invasiva?
3. Proporcionalidad: ¿los beneficios superan la intrusión?
Bases legales permisibles
Registro de jornada / acceso laboral:
No basta con el uso del art. 9.2.b RGPD (legislación laboral), pues no hay norma española que especifique biometría en este contexto.
El consentimiento no se considera válido debido al desequilibrio en la relación trabajador-empleador.
Acceso no laboral: solo se permite mediante consentimiento libre e informado, si existen alternativas equivalentes.
Evaluación de impacto y gestión de riesgos
Todo sistema de biometría debe someterse a:
Gestión del riesgo anticipado
Protección de datos desde el diseño y por defecto (arts. 24 25 RGPD).
EIPD (evaluación de impacto, art. 35 RGPD) si el sistema implica alto riesgo.
Decisiones automatizadas
Si el sistema toma decisiones automáticas con efectos legales o similares, se aplican garantías adicionales del art. 22 RGPD: derecho a intervención humana, a expresar opiniones y a impugnar decisiones
Finalidades adicionales requieren legitimación propia
Usar datos de biometría para otros fines exige una nueva base legal y condiciones específicas.
Medidas organizativas mínimas
Informar a los afectados, limitar almacenamiento (evitar bases centralizadas), asegurar sistemas (cifrado, controles), y documentar todo, son requisitos ineludibles.
Teniendo en cuenta la visión de la AEPD, desde la AEERC realizan una serie de recomendaciones prácticas a sus asociados que se resumen en las siguientes:
Realizar un análisis objetivo de alternativas antes de implementar biometría.
Documentar el juicio de idoneidad, necesidad y proporcionalidad.
Integrar desde el diseño las medidas de minimización y ciberseguridad.
Ejecutar una Evaluación de Impacto en la Protección de Datos robusta y actualizada con cambios o ampliaciones del sistema.
Informar al personal, y garantizar canales para oponerse y ejercer derechos frente al sistema.
Con esto queda claro que para la AEPD la biometría para control de acceso o presencia es viable, pero solo si se usa con total rigurosidad técnica, legal y ética. En concreto, en entornos laborales solo si no hay alternativa, se avala por ley, y se implementa con plenas garantías.
