Datos biométricos: tratamiento de la huella dactilar conforme al RGPD

Author: \ 17 diciembre, 2018 \ Actualidad, Otros temas, Reglamento europeo, Tecnología \ 0 Comentarios

El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, RGPD),  integra los datos biométricos como categoría especial de datos personales, estableciéndolo en tal sentido en su artículo 9.1 del RGPD

“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.

El RGPD establece los datos biométricos como categoría especial de datos personales.

Para el tratamiento de estas categorías especiales de datos, el RGPD, concretamente en su artículo 9, exige que se cumplan una serie de exigencias legales para que dicho tratamiento sea lícito. Pero antes de eso, vamos a especificar una serie de cuestiones:

¿Qué es un dato biométrico?

Son aquellos datos que sirven para reconocer y/o identificar a una persona física de manera inequívoca, de acuerdo con sus características fisiológicas o, en su caso, a través de su conducta.

¿Qué tipos de datos biométricos existen?

Los datos biométricos que más se suelen dar en la práctica son:

  • Huella dactilar.
  • Reconocimiento facial.
  • Reconocimiento del iris.
  • Reconocimiento de la geometría de la mano.
  • Reconocimiento de la retina.
  • Reconocimiento vascular.
  • Reconocimiento de la firma.
  • Reconocimiento caligráfico.
  • Reconocimiento de voz.
  • Reconocimiento de escritura de teclado.
  • Reconocimiento gestual.

Nosotros nos centraremos en los datos biométricos de huella dactilar, para especificar el tratamiento de dicha tipología de dato.

¿En qué consiste el tratamiento de un dato biométrico?

Los datos biométricos son tratados a través de métodos automáticos que se usan para identificar a una persona (con norma general, a un trabajador e su relación laboral). Para ello, se tiene que realizar un análisis previo de sus huellas dactilares, o de cualquier otro dato de los anteriormente indicados, y haber procedido a su registro, lo que permitirá su posterior identificación. Dicho tratamiento podrá ser:

  • Universal: cuando se de en todas las personas.
  • Único: cuando se distinga en cada persona.
  • Permanente: cuando no tenga definido un límite de tiempo.

 

Los datos biométricos son métodos automáticos que identifican a una persona a través de un análisis previo que permita su posterior identificación.

¿Qué novedad ha introducido el RGPD en el tratamiento de este tipo de datos?

Como se ha indicado, el RGPD establece los datos biométricos como una categoría especial de dato personal y, por tanto, se encuentran dentro de la categoría de “datos especialmente protegidos o datos sensibles”. Dentro de los requisitos que establece el artículo 9, en el caso que nos ocupa se encuentra:

  • Se necesita el consentimiento explícito de la persona (por norma general, el trabajador). El cual se tendrá que recabar a través de un documento, donde previamente a dicha persona se le ha informado de acuerdo con las exigencias del artículo 13 del RGPD, determinando claramente la finalidad para la que se va a usar la huella dactilar.

  • Se llevará a cabo una evaluación de impacto, la cual permitirá evaluar el origen, la naturaleza, la particularidad y la gravedad del riesgo que conlleva el tratamiento de la huella dactilar.

  • Se tendrá que especificar en el registro de actividades de tratamiento el tratamiento de la huella dactilar.

¿Necesariamente tiene que darse el consentimiento explícito o hay otra forma de llevarlo a cabo?

El artículo 9.2 del RGPD establece las circunstancias en las que se podrá llevar a cabo el tratamiento de categorías especiales de datos personales, en este caso, de datos biométricos, concretamente de la huella dactilar. Dichas circunstancias son:

  1. Cuando el interesado otorgue su consentimiento explícito.

  2. Cuando el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado.

  3. Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado para dar su consentimiento.

  4. Cuando el tratamiento sea efectuado para la debida gestión de una fundación, asociación o cualquier otro organismo sin ánimo de lucro.

  5. Cuando el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos.

  6. Cuando el tratamiento sea necesario para la formulación, ejercicio o defensa de reclamaciones o cuando los tribunales actúen en el ejercicio de su función judicial.

  7. Cuando el tratamiento sea necesario por razones de interés público esencial.

  8. Cuando el tratamiento sea necesario para fines de medicina preventiva o laboral.

  9. Cuando el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública.

  10. Cuando el tratamiento sea necesario para fines de archivo en interés público, fines de investigación o fines estadísticos.

Se podría alegar el interés legítimo del responsable del tratamiento. Pero esta base legitimador del artículo 6.1.f del RGPD conlleva una ponderación, donde se tendrá que analizar que sobre los intereses del responsable no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Por tanto, habrá que analizar si no hay un método menos intrusivo para conseguir la finalidad que persigue el responsable del tratamiento, que por norma general, habrá otro método. Por tanto, esta medida solo es aconsejable cuando en dicho juicio de ponderación se llegue a la conclusión de que sea el único método para alcanzar la finalidad del responsable del tratamiento o, que de todos los que disponemos, es el menos intrusivo.

Los datos biométricos conlleva un juicio de ponderación a la hora de establecer los fines y medios para su tratamiento.

¿Qué tengo que tener en cuenta a la hora de implementar este tipo de tratamiento?

Con carácter general, los datos de carácter personal tienen que ser recogidos:

  • Para unos fines determinados, no pudiéndose utilizar dichos datos para otra finalidad que no sea la previamente informada y, en su caso, consentida.
  • A su vez, los datos recabados deben de ser adecuados y no excesivos para la finalidad establecida de acuerdo con los principios de necesidad y minimización de datos.
  • Por último, en este caso, al tratarse de categorías especiales de datos personales, juega un papel transcendental los principios de idoneidad y proporcionalidad. Debido a que se tendrá que analizar si existen otros mecanismos menos intrusivos para la recogida de datos de carácter personal.

¿En qué supuestos se suelen dar la utilización de datos biométricos?

Los casos más comunes serán los de control laboral y/o de acceso, entre los que se encuentra: el control de presencia, mecanismos de identificación, control de acceso, registro de entrada y salida…

¿Qué medidas debo de aplicar para la correcta protección de los datos de carácter personal?

A demás de las medidas ordinarias que se deben de tener en cuenta en el tratamiento de datos de carácter personal, en el caso de los datos biométricos se pueden establecer una serie de medidas técnicas que garanticen la protección de esta categoría especial de datos, como lo son:

  • Almacenamiento de plantillas biométricas.
  • Establecer sistemas de encriptación de los datos biométricos que remitan a un identificador.
  • Almacenamiento disgregado de los datos a través de dispositivos cifrados.
  • Supresión de los datos biométricos cuando dejen de ser necesarios para la finalidad por la que fueron recabados.
  • Control de acceso a dichos datos.

 

¿En el caso de los trabajadores es necesario que consientan de forma explícita este tipo de tratamiento?

La acción de otorgar el consentimiento, implica a su vez la posibilidad de otorgarle al interesado la facultad de retirar dicho consentimiento cuando así lo considere. Por tanto, podemos entender que pese a que el trabajador nos consienta a día de hoy, nos puede retirar dicho consentimiento en futuras ocasiones.

A mayores, en un informe del Grupo de Trabajo 29 / CEPD sobre el tratamiento de los datos en el ámbito laboral, se llegó a interpretar que el consentimiento de los trabajadores, en ningún caso sería del todo libre, debido a que hay una dependencia clara entre el trabajador y el empresario.

Se podría basar el tratamiento de este tipo de datos en la habilitación legal dada por el artículo 20 del Estatuto de los Trabajadores y al interés legítimo del responsable del tratamiento, al tratarse de una medida de control laboral, sin que en ningún caso fuera necesario el consentimiento. Pero en este último caso, deberíamos de tener en cuenta el juicio de ponderación si la medida llevada a cabo es necesaria, sin que hubiera otro mecanismo menos intrusivo.

En el caso de que el trabajador no de su consentimiento y existiendo mecanismos más idóneos y proporcionales para la finalidad del tratamiento, se tendrán que habilitar dichos mecanismos, garantizando en todo momento la protección de los datos de carácter personal del trabajador.

Entradas relacionadas

Transferencias internacional de Datos en el RGPD (I) | Introducción

27 junio, 2018

Móvil y correo electrónico de los trabajadores

5 marzo, 2024

La Agencia Española de Protección de Datos multa con 10.000€ a un particular por difundir fotos en WhatsApp

28 febrero, 2020

Deja un comentario

He leído y acepto la política de privacidad