Mostrar filtros
CATEGORÍAS
FECHAS

Estar al día en...

El uso de biometría en la empresa: cambios en la Agencia Española de Protección de Datos

31/01/24

La Agencia Española de Protección de Datos (AEPD) ha publicado una Guía sobre tratamiento de control de presencia mediante sistemas biométricos (clic AQUÍ), estableciendo unos nuevos criterios con relación al uso de la biometría en el control de presencia y acceso tanto con fines laborales como no laborales.

Dicha Guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.

 

El uso de biometría en la empresa cambios en la Agencia Española de Protección de Datos

 

¿Por qué se ha realizado un cambio de criterio?

Los sistemas biométricos y el tratamiento de los datos obtenidos están evolucionando muy rápidamente. La tecnología actual aumenta la profundidad de la información recogida e incluso permite la posibilidad de recoger información sin la cooperación de la persona, siendo incluso no consciente de la misma. El auge de la inteligencia artificial puede acrecentar también el problema.

El objetivo de este nuevo criterio es que el tratamiento de datos personales cumpla con el Reglamento General de Protección de Datos (RGPD), entre otras normativas. El uso de datos biométricos, tanto para identificación como para autenticación, supone un tratamiento de categorías especiales de alto riesgo que se incluye categorías especiales de datos. Para poder tratar esas categorías será necesario que exista una circunstancia que levante la prohibición de su tratamiento y una condición que lo legitime.

 

¿Cómo afecta al registro de jornada y control de acceso con fines laborales?

Si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para esta finalidad.

Por otro lado, la AEPD ha especificado que el consentimiento no podrá levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo. Es decir, la existencia de consentimiento no legitimará una excepción.

 

¿Cómo afecta al registro de jornada y control de acceso fuera del ámbito laboral?

En estos casos el consentimiento tampoco podrá ser una circunstancia que levante la prohibición al ser un tratamiento de alto riesgo y no superar el requisito de necesidad (artículo 35.7.b).

 

¿La biometría se podrá continuar utilizando en las empresas?

Aunque hay otras soluciones alternativas a la biometría, puede haber empresas que por cuestiones de seguridad no quieran dejar de utilizarla. Algunos ejemplos pueden ser el sector financiero, industrial, farmacéutico o de salud, que requieren un control más exhaustivo de las entradas y salidas de personal.

Será necesario entonces realizar una Evaluación de Impacto para la Protección de Datos (EIPD) acreditando la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento. Tras superarlo, la empresa podrá hacer uso de la biometría de forma justificada al poder disponer de los argumentos necesarios en caso de inspección.

La AEPD ha aportado una lista de medidas que se deben realizar en la recogida de datos biométricos si se superan todos los requisitos de cumplimiento de los principios del RGPD:

  • Informar a las personas sobre el tratamiento biométrico y los elevados riesgos asociados
  • Implementar la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
  • Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
  • Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
  • Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
  • Implementar la protección de datos desde el diseño.
  • Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.

 

¿Qué sucedería si una empresa no superar la Evaluación de Impacto para la Protección de Datos?

En caso de que la compañía no supere la EIPD, tendrá que cambiar la tecnología de control de presencia y acceso a sus instalaciones. Hay que tener en cuenta que el registro de la jornada laboral es obligatorio desde 2019, por que será indispensable contar con alguna de las soluciones alternativas a la biometría que existen en el mercado.

 

¿Qué alternativas existen a la biometría en el control de accesos e identificación?

En la actualidad existen diversas alternativas al uso de la biometría:

  • Tarjetas físicas de proximidad: fácil de usar y no requiere de habilidades técnicas. Pueden ser olvidadas, pérdidas o robadas y su reemplazo puede ser caro. Siempre existe la posibilidad de que un extraño acceda a las instalaciones con una tarjeta o que dos compañeros se la intercambien.
  • Códigos PIN o Contraseñas: fácil de usar. Riesgo de pérdida o sustracción. Puede ser fácilmente suplantable.
  • Bluetooth en dispositivo móvil: dispositivo de amplia difusión. Como desventaja, si un usuario se queda sin batería supondría que no pudiera fichar o acceder.
  • Chip del DNIe: requiere proveer a la empresa de lectores de chips de DNIe. Difícil de falsificar, aunque existe el riesgo del robo del DNIe.
  • Fichaje por aplicación móvil: no necesita un terminal físico. Los empleados pueden fichar desde cualquier lugar con acceso a la aplicación móvil, pudiendo dar información adicional como la geolocalización. Es necesario un smartphone compatible y requiere de acceso a internet.
  • Fichaje web con software de control horario: no necesita un terminal físico. Es necesario un ordenador con acceso a internet.

 

Si quieres saber más sobre Protección de datos o formar a tus trabajadores, te recomendamos:

Curso completo de Protección de datos de carácter personal (actualizado con el RGPD y la Ley Orgánica 3/2018). 75 h. Disponible mediante formación bonificada para empresas.

Anterior Siguiente
significado del adjetivo eficiente
 

Tiempo

Empieza nuestros cursos cuando quieras, sólo tú sabes el tiempo que tienes.

Lugar

Nuestros cursos son 100% online, no importa el lugar, sino lo que aprendas.

Forma

De forma online  enviaremos tu diploma del curso con verificación digital.

 
Cursos Eficientes
 

Sean Serios S.L. | www.cursoseficientes.com | | 604 078 013 | 672 356 835

Avda. Poeta Mahia nº 4 bajo 15220 Bertamirans- Ames

 
X
Cerrar-Abrir

Quiero estar al día!!

Quiero recibir el boletín de noticias, ofertas y promociones de cursos.

SUSCRIBIRME

USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar su experiencia y nuestros servicios, así como mostrarle, desde nuestro sitio web o los de terceros, publicidad basada en el análisis de sus hábitos de navegación.
Puede obtener más información en nuestra Política de Cookies.

Más información