A Guía establece restricións aos tratamentos biométricos realizados para o control de presenza cando se toman decisións automatizadas sen intervención humana que teñan efectos legais sobre a persoa ou que a afecten de forma significativa de xeito similar. En todo caso, para captar datos biométricos, con carácter previo ao inicio do tratamento, será preceptivo a realización dunha Avaliación de Impacto da Protección de Datos na que, entre outros aspectos, se acredite que se superou a tripla análise de idoneidade, necesidade e proporcionalidade do tratamento.

A Axencia Española de Protección de Datos (AEPD) publicou unha Guía de tratamentos de control de presenza a través de sistemas biométricos, un documento que establece os criterios de utilización da biometría para o control de accesos, tanto para fins laborais como non laborais, establecendo as medidas a adoptar. en conta para que o tratamento de datos persoais que utilice esta tecnoloxía cumpra co Regulamento Xeral de Protección de Datos (GDPR) entre outras normativas.

A Axencia elaborou esta guía dada a evidencia de que os sistemas biométricos e o tratamento dos datos que se poden obter deles están a evolucionar moi rapidamente. Os novos sistemas aumentan o detalle da información recollida e mesmo permiten a posibilidade de recoller información sen a colaboración da persoa, que en ocasións nin sequera é consciente diso. A isto súmase o desenvolvemento da intelixencia artificial, que se pode utilizar para inferir información adicional sobre as persoas.

A Axencia considera o tratamento de datos biométricos, tanto para a súa identificación como para a autenticación, como un tratamento de alto risco que inclúe categorías especiais de datos.

Polo tanto, tal e como establece o GDPR, para tramitar estas categorías debe existir unha circunstancia que levante a prohibición do seu tratamento e, ademais, unha condición que o lexitime.

Neste sentido, a Guía establece restricións aos tratamentos biométricos realizados para o control de presenza cando se tomen decisións automatizadas sen intervención humana que teñan efectos legais sobre a persoa ou que a afecten de forma similar de forma significativa.

En todo caso, a Guía especifica que, se se pretende captar datos biométricos, con anterioridade ao inicio do tratamento, será obrigatorio realizar unha Avaliación de Impacto para a Protección de Datos na que, entre outros aspectos, se supere a tripla análise. de idoneidade, necesidade e proporcionalidade do tratamento.

Por último, a Axencia engade tamén unha relación de medidas que deben levarse a cabo se se superan todos os requisitos de cumprimento dos principios do RGPD:

Sistemas e datos biométricos

Os sistemas de tratamento de datos biométricos baséanse na recollida e tratamento de datos persoais relacionados coas características físicas, fisiolóxicas ou de comportamento das persoas físicas, que poden incluír as súas características neuronais, mediante dispositivos ou sensores, creando modelos biométricos (tamén chamados sinaturas ou patróns) que permitan identificación, seguimento ou perfilado das ditas persoas (é dicir, “tramitación”, art. 4.2 do RGPD).

Neste sentido o art. 4.14 do GDPR define os datos biométricos como aqueles “datos persoais obtidos a partir dun tratamento técnico específico, relativos ás características físicas, fisiolóxicas ou de comportamento dunha persoa física que permiten ou confirman a identificación única da devandita persoa, como imaxes faciais ou datos de pegadas dixitais. Segundo esta definición, os datos biométricos son todos os datos que permiten a identificación ou autenticación dunha persoa.

Control de presenza, control de acceso e rexistro de día

Segundo a Guía, o control de presenza é un tratamento de datos que pode servir para acadar diferentes finalidades. Por este motivo, está suxeita ao efectivo cumprimento da normativa de protección de datos, sen prexuízo das especificidades previstas na normativa para cada un dos supostos, de acordo coa normativa que se vaia aplicar en cada caso.

Tanto o control de accesos como o rexistro diario, no que se refire ao tratamento dos datos persoais, deberán axustarse en todo caso aos principios, dereitos e obrigas establecidos no RGPD. A súa implementación a través dun sistema biométrico tamén implica consideracións adicionais para o cumprimento do GDPR.

– Control de acceso

Trátase dun tratamento de control de presenza vinculado á finalidade de supervisar a entrada e/ou a saída de determinados locais, dentro ou fóra do centro de traballo e das súas finalidades.

– Control de accesos para fins laborais

Este control baséase normalmente na disposición contida no art. 20.3 do texto refundido da Lei do Estatuto dos traballadores (“3. O empresario poderá adoptar as medidas que considere máis oportunas para a vixilancia e control para comprobar o cumprimento por parte do traballador das súas obrigas e deberes laborais, tendo en conta a súa adopción e debida consideración á súa dignidade e tendo en conta, se é o caso, a capacidade real dos traballadores con discapacidade).

– Control de acceso para outros fins

Hai casos nos que é necesario realizar un control de presenza, para supervisar o acceso de usuarios ou clientes a determinados locais ou espazos, ou que é necesario para a execución dun contrato para, por exemplo, gozar de determinados servizos. .

– O rexistro do día

Trátase dun tratamento de control de presenza enmarcado dentro dunha relación laboral, co obxectivo de controlar o seu desenvolvemento.

O Real decreto lei 8/2019, do 8 de marzo, de medidas urxentes de protección social e loita contra a precariedade laboral durante a xornada de traballo, regula no seu art. 10 o rexistro da xornada laboral como vía de loita contra a precariedade laboral.

Así, ao introducir o novo número 9 ao 34 do TR do ET, establece que: «A empresa garantirá o rexistro diario da xornada laboral, que deberá incluír a hora concreta de inicio e finalización da xornada de cada traballador. … A empresa “Conservará durante catro anos os rexistros a que se refire esta disposición e permanecerán á disposición dos traballadores, dos seus representantes legais e da Inspección de Traballo e Seguridade Social”.

No caso de rexistro horario e control de accesos para fins laborais, se o levantamento da prohibición se basea no artigo 9.2.b) do GDPR, o responsable deberá contar cunha norma con rango de lei que autorice especificamente o uso da biométrica. datos.para este fin. A Axencia precisa que, no marco destes tratamentos, o consentimento non pode levantar a prohibición nin ser base para a determinación da súa legalidade, xa que existe un desequilibrio entre a persoa que se somete ao tratamento e a que o está a realizar. .

No caso de control de acceso fóra do centro de traballo, o consentimento tampouco poderá ser unha circunstancia que leve a prohibición, por tratarse dun tratamento de alto risco e non exceder do requisito de necesidade (artigo 35.7.b).

Principios a ter en conta para o tratamento do control de presenza mediante técnicas de identificación ou autenticación biométrica

Os responsables do tratamento deberán ter en conta que:

1. O uso de tecnoloxías de identificación e autenticación biométrica no control de presenza implica un tratamento de alto risco que inclúe categorías especiais de datos.

2. Na implantación do tratamento de control de presenza, deberán cumprirse os principios de minimización e protección de datos desde o seu deseño e por defecto, utilizando medidas alternativas, equivalentes, menos intrusivas e que traten o mínimo de datos adicionais.

3. É necesario que concorra unha circunstancia que permita levantar a prohibición de tratar categorías especiais de datos e, ademais, unha condición que lexitime o tratamento.

– No caso de rexistro de xornada e control de acceso para fins laborais, se o levantamento da prohibición se basea no 9.2.b), o responsable deberá contar cunha norma con rango de lei que especifique a posibilidade de utilizar datos biométricos. para tal efecto, que non se atopa na normativa legal española vixente.

– No caso de rexistro de xornada ou control de accesos no centro de traballo, o consentimento non pode levantar a prohibición de tratamento, nin ser base para a determinación da legalidade, xa que con carácter xeral existe unha situación de desequilibrio entre o interesado e o responsable do tratamento. .

– No caso de control de accesos fóra do centro de traballo, a execución dun contrato non é circunstancia que leve a prohibición segundo o art.9.2 do RGPD. Tampouco se pode prestar o consentimento, por tratarse dun tratamento de alto risco, e habería que superar o requisito de necesidade establecido para os ditos tratamentos.

4. Calquera uso de datos biométricos para fins distintos do control de presenza deberá ter as súas propias circunstancias para o levantamento da prohibición e condicións que o lexitiman.

5. Na tramitación do control de presenza non se poderán adoptar decisións automatizadas sen intervención humana que produzan efectos xurídicos sobre o interesado ou o afecten significativamente de forma similar en función do proceso biométrico, se non se concorre a circunstancia dun interese público esencial. baseada nunha norma con rango de lei, proporcional ao obxectivo perseguido, que respecte fundamentalmente o dereito á protección de datos e que estableza medidas adecuadas e específicas para protexer os intereses e dereitos fundamentais do interesado.

6. No caso de que o sistema biométrico se implante con técnicas de intelixencia artificial, para incluílas nun tratamento, deberán terse en conta as prohibicións, limitacións e requisitos establecidos na normativa de intelixencia artificial.

7. En todo caso, con anterioridade ao inicio do tratamento, será obrigatorio superar unha Avaliación de Impacto en Protección de Datos na que se acredite, entre outras, a acreditación de superar a tripla análise de idoneidade, necesidade e necesidade e proporcionalidade de o tratamento de datos biométricos.

8. Unha vez superados todos os requisitos para o cumprimento dos principios xerais do GDPR, na implantación práctica do tratamento de control de presenza con técnicas de identificación ou autenticación biométrica, deberán implantarse as garantías organizativas, técnicas e legais. En particular, deberán estar presentes polo menos as seguintes medidas por defecto:

– Informar aos traballadores, ou ás persoas se non se atopan nun ámbito laboral, sobre o tratamento biométrico e os altos riscos asociados a el.

– Implantar no sistema biométrico a posibilidade de revogar o vínculo identitario entre o modelo biométrico e a persoa física.

– Implantar medios técnicos que garantan a imposibilidade de utilizar os modelos para calquera outro fin.

– Use o cifrado para protexer a confidencialidade, dispoñibilidade e integridade do modelo biométrico.

– Utilizar tecnoloxías ou formatos de datos específicos que imposibiliten a interconexión de bases de datos biométricas e a divulgación de datos non verificados.

– Eliminar os datos biométricos cando non estean vinculados á finalidade que motivou o seu tratamento.

– Aplicar a minimización dos datos biométricos recollidos, cunha valoración obxectiva de que non hai posibilidade de revelar categorías especiais de datos adicionais.

– No caso de rexistro de presenza ou control de acceso no centro de traballo, o conxunto de garantías en relación con estes tratamentos deberá figurar nos convenios colectivos no sentido previsto no art. 91 da LOPDGDD.

9. Entre as medidas recomendadas para minimizar o risco están:

– O uso das tecnoloxías biométricas debe basearse no uso de dispositivos baixo o control exclusivo dos usuarios.

– Recoméndase que os datos sexan recollidos de forma consciente polo individuo, e mesmo coa esixencia de acción positiva para iniciar o tratamento dos datos biométricos.

– Preferentemente, non se debe utilizar o almacenamento centralizado de modelos biométricos.

– Deben implantarse mecanismos de eliminación automatizada de datos.

10. Por último, todas as actuacións e medidas postas en marcha serán revisadas e actualizadas cando sexa necesario.


0 comentarios

Deixa unha resposta

Marcador de posición do avatar

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *