Criterio de la AEPD en el uso de datos biométricos.
Los datos biométricos permiten identificar a una persona basándose en sus características fisiológicas o comportamientos. Desde noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) ha modificado significativamente el criterio legal aplicable a estos datos cuando se usan para identificación o acceso. Anteriormente, estos datos se clasificaban como categorías especiales que requerían protección adicional.
No obstante, los datos biométricos utilizados para autenticación no se incluían en esta categoría, lo que permitía su uso en diferentes contextos, como el registro de jornada laboral de empleados. Este uso había sido avalado por la jurisprudencia como adecuado y legal.
Sin embargo, desde la fecha mencionada, la AEPD ha ajustado su criterio para alinearse con los nuevos lineamientos del Comité Europeo de Protección de Datos (CEPD). Ahora, tanto la identificación biométrica como la autenticación se consideran tratamientos de datos dentro de categorías especiales, lo que implica que deben cumplir con las obligaciones establecidas en el Reglamento General de Protección de Datos (RGPD).
Actualmente, el tratamiento de datos biométricos con fines de identificación o autenticación requiere una protección especial debido a las posibles consecuencias de su uso. La AEPD, conforme al artículo 9 del RGPD, considera que este tratamiento es de alto riesgo en general.
El artículo 9.2 del RGPD especifica ciertos casos en los que se autoriza el tratamiento de datos biométricos, señalando que «el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad».
Además, la Disposición Final Undécima de la Ley Orgánica 3/2018, de 5 de diciembre, regula el uso de datos biométricos, estableciendo una serie de condicionantes y partiendo de la prohibición general de su utilización.
En consecuencia, según el RGPD, para tratar esta categoría de datos personales es necesario:
a) Que exista una circunstancia que permita levantar la prohibición del tratamiento de categorías especiales de datos.
b) Además, se debe cumplir una condición que legitime dicho tratamiento.
La AEPD, en su Guía sobre tratamientos de control de presencia mediante sistemas biométricos, indica que para el registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b), el responsable debe tener una norma con rango de ley que permita usar datos biométricos para esta finalidad, lo cual es difícil de encontrar en la normativa española actual.
Por lo tanto, la AEPD, mediante su Guía, cuestiona la utilización de estas tecnologías, alejándose del criterio tradicional que no consideraba su uso como una medida excesiva.
Adicionalmente, la AEPD ha señalado que, en el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no levanta la prohibición según el artículo 9.2 del RGPD, y el consentimiento tampoco es suficiente, dado que se trata de un tratamiento de alto riesgo.
En resumen, con la nueva interpretación de la AEPD, es necesario sustituir los sistemas de registro biométrico por otros que no utilicen datos biométricos, considerando alternativas menos intrusivas como tarjetas inteligentes o certificados digitales.
Finalmente, esta modificación de criterio es de aplicación inmediata, por lo que cualquier empresa que utilice sistemas de reconocimiento biométrico puede ser sancionada por la AEPD, independientemente de la legalidad del sistema en el momento de su instalación.
Fuente: https://www.eleconomista.es/opinion/noticias/12914593/07/24/el-criterio-de-la-aepd-sobre-el-uso-de-los-datos-biometricos-en-su-uso-como-control-de-acceso.html
