ICASBD
ESP
CAT
Acceso área privada
Fuente actualizada de información y de servicios
Inicio   -   27 sep 2024

Colegiarse en el ICASBD
Sede electrónica: Trámites en línea
Transparencia ICASBD
Correo

Volver a la página anterior   |   Noticias - Cuestiones básicas sobre protección de datos personales para abogados/as

La protección de los datos personales biométricos


La protección de los datos personales biométricos
29/08/2024


El artículo 4.14 del RGPD (Reglamento General de Protección de Datos) define como biométricos aquellos datos obtenidos a partir de un tratamiento técnico específico, relativas a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen la identificación unívoca de esta persona, como por ejemplo imágenes faciales o datos dactiloscópicos.

Además de la huella dactilar o el reconocimiento facial, se incluyen también dentro de este grupo el escáner ocular (iris/retina), la geometría de la mano, la dinámica de la firma, los patrones (pulsación) de tecleo, el reconocimiento de voz, la manera de andar u otras que, gracias al uso de programas o medios tecnológicos específicos, permiten capturar y procesar este tipo de datos con el objetivo de identificar una persona.

El artículo 9 RGPD incluye los biométricos dentro de la categoría especial de datos personales y, por lo tanto, las considera datos especialmente protegidos. Por este motivo, el apartado 1 del mismo artículo 9 prohíbe, a todos los efectos, el tratamiento de estos datos biométricos con el fin de identificar de manera unívoca una persona, si bien el apartado 2 delimita los casos específicos en que no opera esta prohibición.

La disposición final 11.ª de la Ley Orgánica de Protección de Datos y garantía de derechos digitales (LOPDGDD), que modifica el artículo 15.1 de la Ley 19/2013, de transparencia, información pública y buen gobierno, regula el uso de los datos biométricos en los mismos términos que lo RGPD, estableciendo que la prohibición de su tratamiento solo se puede levantar “en el supuesto de que se cuente con el consentimiento expreso del afectado/da o cuando el levantamiento esté amparado por una norma con rango de ley”.

Datos biométricos y control acceso/registre jornada laboral. Criterios AEPD

En cuanto al tratamiento de datos biométricos para el control de acceso o registro de jornada laboral, así como el uso de dispositivos biométricos para esta finalidad, la AEPD ha ratificado recientemente la prohibición legal recogida tanto en el RGPD como la LOPDGDD, señalando que la única posibilidad de levantamiento de esta prohibición es que  concurra una circunstancia que lo exija y una condición que lo legitime, es decir, alguna de las causas recogidas en el artículo 9.2 del RGPD, teniendo en cuenta que, a causa del desequilibrio de poder en la relación entre empresario y empleado, el consentimiento del interesado/da no resulta suficiente, y que España no cuenta, todavía, con ninguna norma con rango de ley que contemple el uso de datos biométricos para el control de presencia.

Aun así, hasta el año 2023 la AEPD venía aplicando un criterio diferente, puesto que, si bien a la identificación biométrica sí le atribuía la categoría especial de dato protegido, no pasaba lo mismo cuando el dato biométrico se utilizaba para autenticar, lo cual abría la puerta a su utilización en sistemas de registro de jornada laboral de trabajadores. Así lo había recogido también el Tribunal Supremo en diferentes sentencias. No obstante, la AEPD ha cambiado posteriormente este criterio, para adaptarlo al del CEPD (Comité Europeo de Protección de Datos), que consideran tanto la identificación como la autenticación biométrica tratamiento de categorías especiales de datos, de forma que  son de aplicación las obligaciones del RGPD.

Aunque el uso de datos biométricos para el control de presencia esté prohibido, es posible que alguna empresa o instancia realice un tratamiento de estos para otras finalidades. En este caso, siempre ha de constar, como hemos apuntado, una base que legitime el levantamiento de la prohibición, y que se cumplan los requisitos, principios y obligaciones legales siguientes:

- Deber de información: Se tiene que informar a la persona interesada sobre la identidad del responsable, el encargado del tratamiento y/o representante, la finalidad del tratamiento, el plazo de conservación de datos, la cesión a terceros y el ejercicio de sus derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición).

- Consentimiento: Si se quiere optar por esta base legitimadora, hay que contar con el consentimiento explícito de la persona afectada. Este consentimiento tiene que especificar con claridad la finalidad del tratamiento y solo se considerará válido cuando se otorgue de manera libre y voluntaria, es decir, cuando no venga “viciado” por una relación desigual (como pasa en una relación laboral). Para poder entender que el consentimiento es realmente libre, la persona afectada tiene que tener a su disposición un sistema alternativo de control de acceso o registro de jornada laboral que no use datos biométricos (por ejemplo, tarjetas magnéticas de identificación).

- Principios de necesidad, idoneidad y proporcionalidad del tratamiento: Los datos biométricos tienen que ser las estrictamente necesarios y adecuados para el tratamiento de una finalidad determinada, sin que se  pueda hacer un tratamiento diferente al que se recoge en el consentimiento prestado por la persona interesada.

- Deber de seguridad: El responsable del tratamiento tiene que aplicar todas las medidas necesarias para garantizar la seguridad e integridad de la información y evitar la pérdida o el acceso a los datos por parte de terceras personas no autorizadas.

- Confidencialidad: También se tiene que cumplir con el deber de no revelar a terceros los datos biométricos a las cuales se acceda, que incluye la obligatoriedad de firmar un acuerdo/compromiso de confidencialidad con el encargado del tratamiento o con los empleados que tengan acceso a estos datos.

- Evaluación de Impacto: Es obligatorio evaluar el impacto del sistema o aplicativo que se utilizará para el tratamiento, determinando las medidas necesarias para garantizar la protección y seguridad de los datos.

- Registro: Es obligatorio llevar, actualizado, un registro de las actividades de tratamiento que se efectúen. Una base de datos biométricos tiene que contener, al menos, la información siguiente:

  • Nombre y datos de contacto del responsable del tratamiento y, si procede, del encargado, y del delegado de protección de datos.
  • Finalidades del tratamiento
  • Descripción de las categorías de interesados y de datos personales
  • Categorías de destinatarios a los cuales se comunicarán los datos
  • Plazos previstos para la supresión de las diferentes categorías de datos.

Cordialmente,

SECRETARÍA TÉCNICA





Volver

Newsletter:

Si quiere estar informado de todas las novedades, envíenos su e-mail

Política de privacidad y cookies



Carrer de Lacy, 15 - 08202 Sabadell
Barcelona


Seu central:
93 726 53 55


Delegació Cerdanyola:
93 692 74 74


Email
icasbd@icasbd.org

ES-0294/2012
Copyright © 2024 Il·lustre Col·legi de l´Advocacia de Sabadell - CIF: Q0863007A - Inventario de actividades de tratamiento de datos personales
Aviso legal - Política de privacidad y cookies - Mapa web - Canal ético - Producido por Anunzia



Utilizamos cookies propias y de terceros para finalidades analíticas y técnicas; tratando datos necesarios para la elaboración de perfiles basados en tus hábitos de navegación.
Puedes obtener más información y configurar tus preferencias AQUÍ.