Los sistemas biométricos destinados a autenticar identidades o controlar accesos y presencia en entornos laborales han experimentado un notable aumento en los últimos años.

En este contexto, la Agencia Española de Protección de Datos (AEPD) ha lanzado una guía para establecer criterios de utilización de esta tecnología, que tiene la capacidad de recopilar una gran cantidad de datos personales.

La guía, publicada por el organismo encargado de garantizar el tratamiento adecuado de datos personales en España, detalla cómo deben implementarse estos sistemas biométricos para el control de acceso, ya sea con fines laborales o no laborales. Además, establece medidas para garantizar que el manejo de datos personales cumpla con las normativas vigentes en el país.

Tratamiento de datos de los sistemas biométricos

La evolución rápida de estos sistemas biométricos y del tratamiento de datos que generan ha llevado a un aumento en la precisión de la información recopilada. También han introducido la posibilidad de obtener información sin la cooperación consciente de las personas, en algunos casos, sin que estas siquiera lo perciban, según señaló la Agencia en un comunicado difundido recientemente.

A este desafío se suma el progreso en inteligencia artificial, que puede utilizarse para deducir información adicional sobre individuos. Debido a estas consideraciones, la AEPD ha catalogado el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de «alto riesgo».

En el contexto del registro de jornada y el control de acceso con fines laborales, los responsables deben contar con una norma legal específica que autorice el uso de datos biométricos para estos propósitos, según especifica la Agencia.

Además, la guía subraya que el consentimiento del empleado no puede invalidar la prohibición ni constituir una base para determinar la legalidad de dicho tratamiento, ya que existe un desequilibrio entre la persona sometida al tratamiento y quien lo lleva a cabo.

La guía también impone restricciones en los tratamientos biométricos para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que afectan jurídicamente a la persona o la impactan significativamente.

En caso de querer recopilar datos biométricos, se requiere realizar una «evaluación de impacto para la protección de datos» antes de iniciar el tratamiento. Esta evaluación debe demostrar la superación de un triple análisis de idoneidad, necesidad y proporcionalidad.

Los responsables de estos sistemas deben informar a las personas sobre el tratamiento biométrico y los riesgos asociados. También deben garantizar que las plantillas biométricas no se puedan utilizar con otros fines y emplear cifrados para proteger la confidencialidad, disponibilidad e integridad de dichas plantillas.