El Consejo de Transparencia y Protección de Datos de Andalucía ha emitido un dictamen en respuesta a una consulta planteada por una Administración local sobre la legitimidad de los sistemas de reconocimiento facial o huella dactilar para el control horario, dictamen que subraya la importancia de analizar la licitud, necesidad y proporcionalidad en el establecimiento de un sistema de estas características.

Sobre la licitud, el Consejo recuerda que, según el Reglamento General de Protección de Datos (RGPD), el tratamiento de los datos biométricos, categoría especial de datos personales, está en principio prohibido como regla general. No obstante, existen excepciones cuando se dan determinadas circunstancias, como por ejemplo si el tratamiento es necesario para el cumplimiento de obligaciones y derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (como puede ser el control horario), aplicación que puede extenderse al ámbito funcionarial.

En este sentido, se debe añadir que la actual normativa legal española no incluye autorización para considerar necesario el tratamiento de datos biométricos en el control del horario de una jornada de trabajo. Si bien, esta prohibición, precisa el órgano de control andaluz, podría superarse si los convenios colectivos recogieran la citada autorización o habilitación de un sistema de esas características para el personal laboral, así como se dispusiera en los acuerdos sobre condiciones de trabajo del personal funcionario.

El dictamen de órgano de control considera que el tratamiento podría considerarse igualmente legítimo si se recabase el libre consentimiento por parte del interesado. No obstante, advierte que únicamente podría considerarse válido si el interesado dispone de una alternativa de libre elección para cumplir con el control horario o de presencia, es decir, el responsable del tratamiento deberá habilitar alternativas para los interesados sin que se tenga que realizar un tratamiento de sus datos biométricos.

Por otra parte, la autoridad de control destaca que es necesario analizar la necesidad y proporcionalidad del sistema biométrico a implantar. En este sentido es fundamental examinar si el sistema es “esencial” para satisfacer la necesidad planteada, y no sólo “lo más adecuado o rentable”. Otro destacado factor a tener en cuenta es la “eficacia” del sistema que se pretende desarrollar, de modo que habrá que estudiar las características específicas de la tecnología biométrica a utilizar.

Además, también se debe evaluar si la pérdida de intimidad que se pudiera producir es “proporcional” a los beneficios esperados. Por tanto, si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada. Otro aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado.

Recomendaciones

Igualmente, es conveniente cumplir una serie de directrices y recomendaciones, tales como que el trabajador debe ser informado sobre el tratamiento o que el principio de limitación de la finalidad deber respetarse junto con los demás principios.

El tratamiento deberá ser adecuado, pertinente y no excesivo en relación con dicha finalidad, de modo que los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implantarse mecanismos automatizados de supresión de datos .

Además, los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible, plantilla que deberá extraerse de manera específica para el sistema biométrico en cuestión y no podrá ser utilizada por otros responsables del tratamiento de sistemas similares.

De otro lado, el sistema biométrico utilizado deberá emplear mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.

Finalmente, el responsable del tratamiento deberá realizar una evaluación de impacto relativa a la protección de datos establecida en el RGPD con carácter previo a la puesta en funcionamiento del sistema biométrico.

Consulta el dictamen íntegro en este enlace.