Datos biométricos en la RGPD. ¿Es legal en 2024 fichar con biometría?

¿Qué son los datos biométricos?

La biometría se refiere al uso de características únicas para la autenticación digital y el control de acceso. Actualmente, disponemos numerosos ejemplos de datos biométricos, como las huellas dactilares o el reconocimiento facial.

Resulta interesante porque agiliza iniciar sesión y que todo sea mucho más rápido y cómodo para los usuarios, además de más difícil de hackear. El problema es que su uso generalizado presenta una serie de problemas de privacidad y seguridad, y si los datos biométricos se filtran aumenta el riesgo de robo de identidad y fraude.

Es decir, si se utilizan bien, son muy positivos y merecen mucho la pena. Pero si se utilizan mal pueden ser un problema, porque pueden afectar a la privacidad de los usuarios. Por eso es importante su regulación bajo el RGPD y la necesidad para las empresas de cumplir con dicha regulación.

RGPD y datos biométricos

El Reglamento General de Protección de Datos (RGPD) introduce nuevas definiciones en las categorías especiales de datos, como los datos genéticos y biométricos, que se definen en el artículo 4 apartado 13 y 14, y en los 34, 35 y 51.

El RGPD define los datos genéticos como los datos personales que están relacionados con las características genéticas de una persona y que ofrecen información única sobre su fisiología o salud, obtenidos a partir del análisis de una muestra biológica de la persona.

Por otro lado, el RGPD define los datos biométricos como los datos personales obtenidos mediante un tratamiento técnico específico relacionado con las características físicas, fisiológicas o conductuales de una persona que permiten su identificación única, como las imágenes de la cara o los datos dactiloscópicos.

Teniendo en cuenta los datos únicos que estamos compartiendo, la protección de los datos se vuelve indispensable para proteger a los usuarios.

Tratamiento de datos biométricos bajo el RGPD

El RGPD asegura que los datos biométricos -como las imágenes faciales- son considerados datos personales cuando permiten la identificación o autenticación de una persona. Y al mismo tiempo prohíbe el tratamiento de los datos que permiten identificar a una persona.

Es importante no confundir la identificación con la autenticación. Ambos procesos están definidos en la normativa europea eIDAS. Por un lado, la identificación es un proceso de reconocimiento de un individuo dentro de un grupo, mientras que la autenticación es la verificación de la identidad del individuo.

Si una entidad las utiliza para ejecutar operaciones biométricas, deberá justificar por qué no puede utilizar sistemas registro de presencia no biométricos y por qué no son adecuadas otras opciones.

Guías y criterios de la AEPD

La AEPD ha publicado la Guía Tratamientos de control de presencia mediante sistemas biométricos. Se trata de un documento en el que se reúnen los criterios válidos para utilizar la biometría para el control de acceso, independientemente de si es para fines laborales como si no, con el objetivo de que el tratamiento de datos cumpla el RGPD.

La AEPD asegura que el tratamiento de datos biométricos para la autenticación y la identificación es un tratamiento de alto riesgo, con categorías especiales de datos. Para poder tratar estas categorías deben existir unas circunstancias que levanten la prohibición de su tratamiento y una condición que lo haga legítimo.

Por ejemplo, en el caso del registro de jornada y control de acceso en el trabajo, si el levantamiento de la prohibición está basado en el artículo 9.2.b) del RGPD, el responsable debe tener una norma que le autorice para usar esos datos biométricos.

En la guía también se fijan una serie de restricciones en los tratamientos biométricos en el control de presencia cuando se toman decisiones automatizadas sin intervención humana que puedan tener efectos jurídicos sobre la persona.

En conclusión, si se pretenden obtener datos biométricos se deberá realizar de forma obligatoria una Evaluación de Impacto para la Protección de Datos para acreditar la idoneidad, necesidad y proporcionalidad del tratamiento en cuestión.

 

 

Bases de legitimación para el tratamiento de datos biométricos

Para tratar los datos biométricos, las empresas deben contar con una base de legitimación del artículo 9.2 del RGPD y evitar la prohibición general de tratar estos datos.

En el artículo se recoge que solo podrán ser de aplicación las siguientes:

• Una norma que obligue a la empresa a tratar los datos, según el artículo 9.2.b del RGPD.
  El consentimiento explícito del trabajador o tercero que acuda a las instalaciones de la empresa, según el artículo 9.2.a del RGPD.

Desafíos y consideraciones prácticas

La implementación de sistemas biométricos que cumplan con el RGPD conlleva una serie de retos y desafíos, como la importancia de realizar evaluaciones de impacto sobre la protección de datos. Al hacerlo, es posible evaluar anticipadamente cuales son los potenciales riesgos a los que están impuestos los datos personales según el tratamiento que se le da a los mismos.

Es recomendable que las empresas sean conscientes de lo que supone la biometría y que conozcan los riesgos asociados al tratamiento de datos personales, para anticiparse a posibles problemas y mitigar los riesgos relacionados con la privacidad y la seguridad de los datos biométricos.

Al examinar detenidamente cómo se recopilan, almacenan y utilizan los datos biométricos de los trabajadores o de los terceros que acuden a una empresa, las organizaciones pueden identificar posibles vulnerabilidades y tomar medidas preventivas para proteger la información confidencial de sus usuarios.

Otro desafío al que se enfrentan las empresas en este 2024 es garantizar la transparencia y el consentimiento informado de las personas de las que poseen sus datos biométricos. Por lo que deben obtener su consentimiento explícito e informar de forma clara de cómo se van a utilizar.

También se deben evitar los accesos no autorizados -mediante contraseñas seguras y cifrados robustos-. Esto permite garantizar la integridad de los datos biométricos, al mismo tiempo que se debe contar con el derecho de acceso, rectificación y eliminación de los datos de los trabajadores o terceros.

Recomendaciones para empresas

En el caso de las empresas que quieran tratar los datos biométricos de los trabajadores, pueden solicitar su consentimiento explícito (artículo 9.2.a del RGPD), y hacer una evaluación de impacto.

Aparte de tener en cuenta los desafíos que abordamos en el punto anterior, es indispensable optar por alternativas y formas de minimizar los datos. Por ejemplo, algunas buenas alternativas son el acceso mediante una tarjeta de identificación, los códigos de acceso o la autenticación en dos factores.

También creemos que es importante tratar de limitar la recopilación de datos biométricos a lo estrictamente necesario. Dicho con otras palabras: si no queda otra.

Conclusión

Es importante que las empresas se aseguren de cumplir con el RGPD al tratar datos biométricos, sobre todo desde 2024 en adelante, dado que la regulación aprieta con fuerza y es fundamental estar dentro de la ley. Es algo que se puede conseguir adoptando prácticas responsables en el uso de tecnologías biométricas.

El RGPD establece una serie de normas para proteger la privacidad y los derechos de las personas en cuanto al tratamiento de sus datos personales, garantizando un uso de los datos ético y legal. Además, fomenta la transparencia y exige responsabilidad a la hora de tratar los datos, pidiendo a las empresas el consentimiento explícito de los trabajadores o terceros para poder recopilar y procesar sus datos.

Las personas tienen el derecho de saber cómo se están utilizando sus datos y tienen el control sobre su uso. Por eso es importante que las empresas cumplan con el RGPD y establezcan medidas de seguridad adecuadas para proteger los datos biométricos contra el acceso no autorizado o su pérdida.

¿Te ha quedado alguna duda sobre el uso de los datos biométricos en la actualidad y su regulación? No dudes en preguntarnos.