La AEPD publicó en Noviembre una guía en la que se fijan los criterios para la utilización de los datos biométricos para el control de acceso y el registro de la jornada laboral. Estos criterios prohíben el uso de datos biométricos, como la huella dactilar, como identificador de acceso.
La guía de la AEPD sobre el tratamiento de control de presencia mediante sistemas biométricos incluye las directrices que regulan el uso de la huella dactilar en las empresas:
Base legitimadora: No se puede usar la huella dactilar para el control de accesos y el registro de la jornada laboral. En el caso del control de accesos, si se justifica debidamente la necesidad de usar la huella dactilar por razones de seguridad (superando el juicio de necesidad, idoneidad y proporcionalidad), podría llegar a admitirse, siempre y cuando se cumpla también con el resto de las obligaciones de protección de datos.
Deber de información: Si, se superan todos los requisitos para usar la huella dactilar en el control de acceso, como responsables del tratamiento tenemos que cumplir con el deber de información en los términos que establece el artículo 13 del RGPD.
Evaluación de impacto: Al ser un tratamiento de datos de categorías especiales, con carácter previo a su adopción, será necesario llevar a cabo una evaluación de impacto del tratamiento, para poder determinar el riesgo que puede entrañar el uso de la huella dactilar como medio identificativo para los derechos y libertades de los interesados.
Medidas de seguridad: La empresa deberá implementar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos.
Las empresas que actualmente están empleando sistemas de control de acceso y fichaje mediante huella dactilar podrían ser apercibidas o sancionadas, si no dejan de utilizar este medio y pasan a una forma alternativa para ello.
Nuestras recomendaciones son las siguientes:
-
No utilizar sistemas biométricos, hay otros métodos que se pueden utilizar (tarjetas, códigos, etc.).
-
Si por cuestiones internas de seguridad, en el control de accesos no se pueden utilizar otros métodos, habría que:
-
Solicitar al fabricante de los dispositivos de control de acceso, control horario, que tipo de captura hacen de la huella. Hay fabricantes que especifican que los datos recogidos de la huella son solo los necesarios para la identificación de las personas y que no recogen otro tipo de información sensible.
-
Realizar la evaluación de impacto.
-
Incluirlo dentro del tratamientos de datos del RGPD e informar a los trabajadores.
Para cualquier consulta sobre estas cuestiones pónganse en contacto con nosotros en el telefono 943203090.
Siguenos en Linkedin