En la nueva guía, se fijan los criterios de uso de esa tecnología tanto con fines laborales como no laborales
La utilización de datos biométricos supone un tratamiento de categorías especiales de datos de alto riesgo
Se imponen límites muy estrictos para el tratamiento de estos datos, y la superación del análisis de idoneidad y proporcionalidad
Esta Guía de Tratamientos de control de presencia mediante sistemas biométricos fija los criterios para la utilización de datos biométricos para el control de acceso a las empresas, con fines laborales o no, estableciendo las medidas que tiene que tenerse en cuenta para que este tipo de tratamientos de datos personales cumpla con el Reglamento General de Protección de Datos.
La Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Tal y como establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime. La equiparación de los sistemas de identificación (gestión de datos biométricos) a los de autentificación (hasta ahora sistemas de seudonomización, contraseñas o algoritmos…) es lo que supone un mayor trastorno para las empresas, ya que resulta casi imposible justificar la utilización de estos sistemas para el control de presencia de los trabajadores.
En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
La Guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.