El 23 de novembre del 2023, l’Agència Espanyola de Protecció de Dades (AEPD) va llançar una Guia essencial que aborda el tractament de dades biomètriques en els sistemes de control de presència. Aquesta guia ofereix directrius clau sobre l’ús de la biometria tant en l’àmbit laboral com no laboral, i la seva relació amb el Reglament General de Protecció de Dades (RGPD) i altres normatives.
L’AEPD ha subratllat que el tractament de dades biomètriques es considera d’alt risc i comprèn categories especials de dades. Per dur a terme aquest tipus de tractament, es requereix una circumstància que en justifiqui l’ús i una condició que el recolzi, en conformitat amb l’article 9 de l’RGPD.
Què diu la Guia de l’Agència Espanyola de Protecció de Dades?
Quan es tracta de registres de jornada i control d’accés amb finalitats laborals, la guia estableix que, si es basa en l’article 9.2.b) de l’RGPD per justificar el tractament de dades biomètriques, cal comptar amb una normativa legal específica que n’autoritzi la utilització per a aquest propòsit.
El simple compliment del que disposen l’article 20 o l’article 34.9 de l’Estatut dels Treballadors no es considera suficient.
A més, es destaca que el consentiment (article 9.2.a) no pot ser la base principal per legitimar aquest tractament a causa del desequilibri entre la persona sotmesa al tractament i qui el realitza (empleat-empresari).
Quins requisits cal complir per a l’ús de dispositius biomètrics?
Abans de considerar la captació de dades biomètriques, és fonamental dur a terme una Avaluació d’Impacte per a la Protecció de Dades, que inclou l’avaluació de la idoneïtat, necessitat i proporcionalitat del tractament.
Això implica la gestió del risc (article 24.1 de l’RGPD) i l’aplicació de mesures tècniques i organitzatives adequades des del disseny i per defecte (article 25 de l’RGPD) per garantir i demostrar que el tractament compleix amb l’RGPD.
Una vegada es compleixin els principis de l’RGPD, s’han de considerar les mesures addicionals següents:
- Informar les persones sobre el tractament biomètric i els riscos associats.
- Incorporar l’opció de revocar la identificació biomètrica.
- Implementar mesures tècniques per evitar un ús indegut de les dades biomètriques.
- Utilitzar xifratge per protegir la confidencialitat, disponibilitat i integritat de les dades biomètriques.
- Emprar formats de dades o tecnologies que impedeixin la interconnexió de bases de dades biomètriques i la divulgació de dades no confirmades.
- Eliminar les dades biomètriques quan ja no siguin necessàries per a la seva finalitat original.
- Integrar la protecció de dades des de la fase de disseny.
- Minimitzar la recopilació de dades, amb una avaluació objectiva per evitar el tractament de categories especials de dades.
Per obtenir més detalls sobre aquestes pautes, us recomanem consultar la Guia de l’AEPD i utilitzar les seves eines per a la gestió de riscos i l’Avaluació d’Impacte.
A Woffu, som aquí per oferir-vos suport en aquest procés. Si teniu preguntes o necessiteu assistència addicional, no dubteu a contactar amb nosaltres.
