Biometría en el entorno laboral

12 diciembre, 2023 por Govertis Blog 0 comentarios

Biometría en el entorno laboral

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la guía «Tratamientos de control de presencia mediante sistemas biométricos» en la que plasma su criterio definitivo en torno al posible uso de esta tecnología tanto en el ámbito laboral, como en otros entornos, pero nos detendremos en el primero de ellos.

Son «datos biométricos» según el artículo 4.14 del RGPD, aquellos «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».

Por tanto, una mera fotografía o imagen no es un dato biométrico, salvo que se apliquen medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física (Considerando 51 RGPD).

En cuanto al requisito de que permita «identificación unívoca», desde hace años se ha venido realizando la distinción entre identificación y verificación o autenticación, tal y como distinguía el GT29 en su «Dictamen 3/2012 sobre la evolución de las tecnologías biométricas» y explicamos en otro artículo en relación al reconocimiento facial. La principal consecuencia práctica de dicha distinción era que en ambos casos estábamos ante datos biométricos, pero únicamente en el caso de que el tratamiento se dirija a la obtención de la identificación de la persona, estaremos ante una categoría especial de datos (correspondencias uno-a-varios), no constituyendo un sistema de verificación (uno-a-uno) un supuesto de tratamiento de datos de categoría especial.

Dicha distinción, a raíz de las «Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement» ha quedado desterrada, ya que ambas funciones constituyen un tratamiento de categorías especiales datos, según el Comité Europeo de Protección de Datos. Así ha hecho constar la AEPD en la Guía Tratamientos de control de presencia mediante sistemas biométricos reconsiderando cuanto decía en este punto en su guía «La Protección de Datos en las Relaciones Laborales» de mayo de 2021.

En conclusión, dado que estamos ante categorías especiales de datos, será necesario:

  • En primer lugar, disponer de una base de legitimación adecuada, lo cual incluye el levantamiento de la prohibición general de tratamiento de datos biométricos establecida en el artículo 9.1 del RGPD
  • Y, en segundo lugar, superar el juicio de necesidad, como parte de la Evaluación de Impacto en Protección de Datos (art 35.7b) RGPD.

En relación a la base de legitimación, todo dato biométrico, destinado a la autenticación o identificación biométrica, constituye un tratamiento de categorías especiales de datos, y como tal, es un tratamiento prohibido, salvo que concurra alguna de las causas del apartado 2 del artículo 9 del RGPD. Entre dichas causas se incluyen el consentimiento explícito del interesado para el tratamiento de dichos datos (Art 9.2a) y «el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado» (Art 9.2b).

Estas dos causas han sido aplicadas hasta la fecha para poder legitimar la utilización de sistemas de identificación biométrica. No obstante, a raíz de la Guía de la AEPD, queda fuera de toda interpretación que puedan seguir utilizándose para dicha finalidad.

Así, el consentimiento como «manifestación de voluntad libre, específica, informada e inequívoca» no puede constituir una base de legitimación para dicho tratamiento ya que la AEPD afirma que «(…) el consentimiento del interesado no levanta la prohibición del tratamiento, con carácter general, al existir una situación en la que existe un desequilibrio con el responsable del tratamiento, como ocurre en el ámbito de una relación laboral (o administrativa/funcionarial)(…)». En este punto deben destacarse sendas resoluciones de dos autoridades de control autonómicas anteriores a la presente Guía de la AEPD:

  • El Dictamen 1/2023 del Consejo de Transparencia y Protección de Datos de Andalucía, que abre la posibilidad a la utilización del consentimiento como base de legitimación, con la debida cautela precisamente por la situación de desequilibrio del interesado, siempre que se disponga de una alternativa de libre elección para cumplir el control horario o de presencia y si el consentimiento es informado, inequívoco y demostrable por el responsable del tratamiento.
  • En la misma línea, la Autoridad Catalana de Protección de Datos en su Dictamen CNS 19/2023.

Por otro lado, relación al cumplimiento de una obligación legal (art 9.2 b) RGPD), el tratamiento de datos debe ser necesario para el cumplimiento de dicha obligación legal y, además, debe venir establecida en una norma con rango de ley, Con esto, la AEPD reconsidera también lo establecido en este punto, en su Guía sobre relaciones laborales, en la que se apuntaba que el art. 20.3 del Real Decreto 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (ET) podía constituir una base de legitimación adecuada. Así, citando también al anteriormente mencionado Dictamen 1/2023 del Consejo de Transparencia y Protección de Datos de Andalucía afirma que «en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo».

Por tanto, a falta de una norma con rango de ley que autorice la utilización de sistemas biométricos con fines de control horario y, ante la imposibilidad de que el consentimiento del interesado pueda levantar la prohibición de utilización de datos biométricos establecida en el artículo 9.1 RGPD según el criterio de la AEPD, la única opción que quedaría es el reconocimiento de dicha posibilidad en un Convenio Colectivo.

No obstante, aun suponiendo que se dispone de una base de legitimación adecuada, existe otro obstáculo a priori aparentemente insalvable, según la Guía de la AEPD: el juicio de necesidad.

La AEPD afirma que:

«La realidad es que, en la argumentación de muchos responsables al fundamentar el levantamiento de la prohibición en el consentimiento libre al proporcionar alternativas a los interesados, han hecho evidente la posibilidad y la viabilidad de dichas alternativas»[1].

Si existen otras alternativas equivalentes, ello significa que el tratamiento de datos biométricos no es necesario, por lo que no se superaría el juicio de necesidad, que forma parte de la Evaluación de Impacto en Protección de Datos que debe realizarse (Art.35.7b) RGPD.

La AEPD afirma que «la evaluación de la necesidad ha de superarse mediante evidencias objetivas, con una visión amplia del contexto y evitando guiarse sólo por tendencias tecnológicas»[2]. Así, el responsable del tratamiento debe «justificar las circunstancias por las que ya no es posible utilizar los sistemas de registro de presencia que se estaban empleando en el mismo centro hasta ese momento» y «que el empleo de otros sistemas existentes como tarjetas, certificados, claves, sistemas contact-less, etc. que evitan el tratamiento de categorías especiales de datos no son adecuados». Señala la AEPD que debe tenerse en cuenta la posibilidad de contar en sus operaciones con intervención humana, en el sentido de que no existe una obligación de que se implementen exclusivamente con medios tecnológicos y que dicha intervención humana podría ser el adecuado complemento para otras opciones.

En conclusión, señala la AEPD «debe tenerse en cuenta el art. 5.1.c) y el considerando 39 del RGPD que indica que los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios». Por tanto, deberá realizarse un análisis previo sobre la necesidad de dicho tratamiento para la consecución de la finalidad pretendida, en el sentido de «que no haya otro medio igual de eficaz y menos intrusivo, antes de la implantación de cualquier sistema; y todo ello debe de ser evaluado desde el Principio de protección de datos desde el diseño, focalizando el análisis en los derechos y libertades de las personas cuyos datos se van a tratar, dentro de ese primer paso. Para ello debería realizarse el correspondiente análisis de riesgos y superarse la evaluación de impacto y tener en cuenta el triple juicio de idoneidad, necesidad y proporcionalidad».

Tras los criterios asentados de forma definitiva por la AEPD en esta Guía, es claro que será prácticamente imposible superar el juicio de necesidad del tratamiento (salvo en supuestos muy concretos y residuales), pues siempre existirán otros medios menos intrusivos e igualmente eficaces.

Sentado lo anterior, la existencia de una base de legitimación se tornaría irrelevante y nos lleva a plantearnos ¿qué ocurre con los tratamientos que implican inteligencia artificial?

En la propia guía, la AEPD[3] indica, como no puede ser de otra manera, que «En el caso de que el sistema biométrico se implemente con técnicas de inteligencia artificial, para poder incluirlos en un tratamiento se deberán tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial», pero, ¿superará el juicio de necesidad en algún momento? Si acudimos al documento de la AEPD[4] «Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción» en este punto se indica que la utilización de soluciones basadas en IA puede conllevar un alto nivel de riesgo por lo que «debería valorarse si el objeto del tratamiento no puede ser conseguido utilizando otro tipo de solución que alcance la misma funcionalidad, con un margen de rendimiento aceptable y un nivel de riesgo menor».

¿Cómo conjugar los avances tecnológicos con la necesidad del tratamiento?, ¿Debe entenderse «necesidad» de forma restrictiva en el sentido de cercenar de inicio el uso de una tecnología?

Entendemos que no puede prohibirse, de facto, el uso de una tecnología por el hecho de no ser objetivamente «necesaria», pues dicho razonamiento nos llevaría en último término a no utilizar ninguna tecnología que pueda acontecer en un futuro.

Es preciso, por tanto, encontrar un equilibrio entre desarrollo tecnológico y protección de los derechos y libertades de las personas, en especial, el derecho fundamental de protección de datos.

 

María Loza Corera

PhD. IT Lawyer. Lead Advisor Jurídico Responsable CdC Tecnologías emergentes en Govertis part of Telefónica Tech

Patricio Monreal Vilanova

IT Lawyer.  Lead Advisor Jurídico Responsable CdC Privacidad Govertis part of Telefónica Tech

 

[1] Guía biometría AEPD, p. 22.

[2] Guía biometría AEPD, p. 17.

[3] Guía biometría AEPD, p. 30.

[4] Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. AEPD, 2020, p. 44

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Qué empresas están obligadas a calcular su huella de carbono y cómo deben hacerlo?Entrada anterior:
IA generativa: explorando la propiedad intelectual de los promptsSiguiente entrada