La Agencia Española de Protección de Datos (AEPD) ha publicado una Guía sobre tratamientos de control de presencia mediante sistemas biométricos (por ejemplo, reconocimiento facial o huella dactilar) de acuerdo con el Reglamento general de protección de datos (RGPD).
En el caso de la obligación legal del registro de la jornada, es necesario que la empresa demuestre que el sistema de control biométrico implantado cumple con el principio de proporcionalidad. Es decir, si existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar, el procesamiento de datos biométricos deja de ser necesario atendiendo a que no se estaría cumpliendo con el principio de minimización de datos recogido en el artículo 5.1.c del RGPD.
Por tanto, la AEPD considera adecuado el tratamiento de los datos biométricos para el registro de jornada SÓLO si se cumplen los siguientes requisitos:
- Consentimiento de la persona interesada.
- Justificación de que el medio alternativo ofrecido a los empleados o terceros no es equivalente al del control biométrico, es decir, que la finalidad que se pretende (control de acceso) no se alcanza del mismo modo o con la misma seguridad.
- La empresa debe poder acreditar objetivamente que dichos sistemas de tratamiento biométricos son necesarios e idóneos debiendo realizar:
- Un análisis de riesgos
- Una evaluación de impacto, y
- Un test de idoneidad, necesidad y proporcionalidad.
Por ello, si su empresa está utilizando sistema de control biométricos para el registro de la jornada estas son las opciones que tiene:
- Reconvertir los lectores biométricos en lectores de tarjeta y/o código [recomendado]
- Instalar nuevos sistemas que no se basen en datos biométricos [recomendado]
- Mantener los actuales lectores biométricos que deberán convivir necesariamente con otros adicionales
Recomendamos las dos primeras opciones.
La última opción implica un mayor coste tanto económico como de carácter organizativo, ya que mantener los lectores biométricos solo es posible cumpliendo estos requisitos:
- Consentimiento informado y con alternativa real
Deberemos tener un documento firmado por la persona trabajadora, el cual explicará los riesgos elevados de tratar sus datos biométricos y se le ofrecerá una alternativa al lector biométrico (ej. lector de tarjeta, código, APP, etc.) para que decida libremente.
- Evaluación del sistema biométrico instalado
Hay que solicitar urgentemente al proveedor o fabricante que aporte su propia Evaluación de Impacto (art. 35 del RGPD) sobre el sistema de lectores implantado, que habrá que analizar si el resultado es legalmente favorable, además se deberá solicitar que se aporte un informe con los datos que se requieren.
- Realizar una Evaluación de Impacto para vuestra entidad.
En conclusión, la AEPD no prohíbe el uso de controles biométricos para el registro de jornada, pero hace muy difícil su uso, por ello se recomienda que se cambie el sistema biométrico de control de la jornada por otros métodos menos invasivos contando con la opinión de su responsable en LOPD.