ICASBD
Accès àrea privada
Font actualitzada d’informació i de serveis
Inici   -   24 nov 2024


La protecció de les dades personals biomètriques
29/08/2024


L’article 4.14 del RGPD (Reglament General de Protecció de Dades) defineix com a biomètriques aquelles dades obtingudes a partir d’un tractament tècnic específic, relatives a las característiques físiques, fisiològiques o conductuals d’una persona física, que permetin o confirmin la identificació unívoca d’aquesta persona, com ara imatges facials o dades dactiloscòpiques. 

A banda de l’empremta dactilar o el reconeixement facial, s’inclouen també dins d’aquest grup l'escàner ocular (iris/retina), la geometria de la mà, la dinàmica de la firma, els patrons (pulsació) de tecleig, el reconeixement de veu, la manera de caminar o altres que, gràcies a l’ús de programes o mitjans tecnològics específics, permeten capturar i processar aquest tipus de dades amb l’objectiu d’identificar una persona.

L’article 9 RGPD inclou les biomètriques dins de la categoria especial de dades personals i, per tant, les considera dades especialment protegides. Per aquest motiu, l'apartat 1 del mateix article 9 prohibeix, amb caràcter general, el tractament d’aquestes dades biomètriques amb la finalitat d'identificar de manera unívoca una persona, si bé l'apartat 2 delimita els casos específics en que no opera aquesta prohibició.

La disposició final 11a de la Llei orgànica de Protecció de Dades i garantia de drets digitals (LOPDGDD), que modifica l’article 15.1 de la Llei 19/2013, de transparència, informació pública i bon govern, regula l’ús de les dades biomètriques en els mateixos termes que el RGPD, establint que la prohibició del seu tractament només es pot aixecar “en el cas que es compti amb el consentiment exprés de l'afectat/da o quan l’aixecament estigui emparat per una norma amb rang de llei”.

Dades biomètriques i control accés/registre jornada laboral. Criteris AEPD

Pel que fa al tractament de dades biomètriques per al control d'accés o registre de jornada laboral, així com l'ús de dispositius biomètrics per a aquesta finalitat, l’AEPD ha ratificat recentment la prohibició legal recollida tant al RGPD com a la LOPDGDD, assenyalant que l'única possibilitat d'aixecament d’aquesta prohibició és que hi concorri una circumstància que ho exigeixi i una condició que ho legitimi, és a dir, alguna de les causes recollides a l'article 9.2 del RGPD, tenint en compte que, a causa del desequilibri de poder en la relació entre empresari i empleat, el consentiment de l’interessat/da no esdevé suficient, i que Espanya no compta, encara, amb cap norma amb rang de llei que contempli l'ús de dades biomètriques per al control de presència.

Tanmateix, fins a l’any 2023 l’AEPD venia aplicant un criteri diferent, ja que, si bé a la identificació biomètrica sí li atribuïa la categoria especial de dada protegida, no passava el mateix quan la dada biomètrica s’utilitzava per autenticar, la qual cosa obria la porta a la seva utilització en sistemes de registre de jornada laboral de treballadors. Així ho havia recollit també el Tribunal Suprem en diferents sentències. L’AEPD, però, ha canviat posteriorment aquest criteri, per adaptar-lo al del CEPD (Comitè Europeu de Protecció de Dades), que consideren tant la identificació com l'autenticació biomètrica tractament de categories especials de dades, de manera que en són d’aplicació les obligacions del RGPD.

Encara que l’ús de dades biomètriques per al control de presència estigui prohibit, és possible que alguna empresa o instància realitzi un tractament d’aquestes per a altres finalitats. En aquest cas, sempre hi ha de constar, com hem apuntat, una base que legitimi l’aixecament de la prohibició, i que es compleixin els requisits, principis i obligacions legals següents:

- Deure d'informació: S’ha d'informar la persona interessada sobre la identitat del responsable, l’encarregat del tractament i/o representant, la finalitat del tractament, el termini de conservació de dades, la cessió a tercers i l’exercici dels seus drets (accés, rectificació, supressió, limitació, portabilitat i oposició).

- Consentiment: Si es vol optar per aquesta base legitimadora, cal comptar amb el consentiment explícit de la persona afectada. Aquest consentiment ha d’especificar amb claredat la finalitat del tractament i només es considerarà vàlid quan s’atorgui de manera lliure i voluntària, és a dir, quan no vingui “viciat” per una relació desigual (com passa en una relació laboral). Per poder entendre que el consentiment és realment lliure, la persona afectada ha de tenir a la seva disposició un sistema alternatiu de control d'accés o registre de jornada laboral que no faci servir dades biomètriques (per exemple, targetes magnètiques d’identificació).

- Principis de necessitat, idoneïtat i proporcionalitat del tractament: Les dades biomètriques han de ser les estrictament necessàries i adequades per al tractament d’una finalitat determinada, sense que se’n pugui fer un tractament diferent al que es recull en el consentiment prestat per la persona interessada.

- Deure de seguretat: El responsable del tractament ha d'aplicar totes les mesures necessàries per garantir la seguretat i integritat de la informació i evitar la pèrdua o l’accés a les dades per part de terceres persones no autoritzades.

- Confidencialitat: També s'ha de complir amb el deure de no revelar a tercers les dades biomètriques a les quals s'accedeixi, que inclou l'obligatorietat de signar un acord/comprimís de confidencialitat amb l’encarregat del tractament o amb els empleats que tinguin accés a aquestes dades.

- Avaluació d'Impacte: És obligatori avaluar l’impacte del sistema o aplicatiu que s'utilitzarà per al tractament, determinant les mesures necessàries per garantir la protecció i seguretat de les dades.

- Registre: És obligatori portar, actualitzat, un registre de les activitats de tractament que s'efectuïn. Una base de dades biomètrics ha de contenir, almenys, la informació següent:

  • Nom i dades de contacte del responsable del tractament i, si escau, de l'encarregat, i del delegat de protecció de dades.
  • Finalitats del tractament
  • Descripció de les categories d'interessats i de dades personals
  • Categories de destinataris als quals es comunicaran les dades
  • Terminis previstos per a la supressió de les diferents categories de dades.

Cordialment,

SECRETARIA TÈCNICA





Tornar

Newsletter:

Si vol estar informat de totes les novetats, envïi'ns el seu e-mail

Política de privacitat i cookies



Seu central:
93 726 53 55


Delegació Cerdanyola:
93 692 74 74

ES-0294/2012

Copyright © 2024 Il·lustre Col·legi de l´Advocacia de Sabadell - CIF: Q0863007A - Inventari d'activitats de tractament de dades personals
Avís legal - Política de privacitat i cookies - Mapa web - Canal ètic - Produït per Anunzia



Utilitzem cookies pròpies i de tercers per a finalitats analítiques i tècniques; tractant dades necessàries per a l'elaboració de perfils basats en els teus hàbits de navegació.
Pots obtenir més informació i configurar les teves preferències AQUÍ.