Cada vez es m\u00e1s frecuente que las empresas hayan implantado un sistema electr\u00f3nico de control de presencia de empleados<\/b> que sirve para verificar cu\u00e1ndo acceden a sus puestos de trabajo. Estos sistemas est\u00e1n alcanzando niveles de precisi\u00f3n que eran dif\u00edciles de imaginar hace solo unos a\u00f1os. Hoy d\u00eda no es raro implementar mecanismos que permitan verificar esa presencia con mayor fiabilidad, usando datos que dif\u00edcilmente pueden ser falsificados, como puedan ser las huellas dactilares, el iris, la voz o el rostro. En otras palabras, mecanismos de identificaci\u00f3n biom\u00e9trica<\/b>.<\/p>\n
Sin embargo, y a pesar de su utilidad, su implementaci\u00f3n puede suponer<\/b> riesgos legales<\/b> que es posible que las propias empresas desconozcan.<\/p>\n
As\u00ed, si analizamos lo que al respecto establece el vigente Reglamento General de Protecci\u00f3n de Datos (Reglamento UE 2016\/679) podemos destacar lo siguiente:<\/p>\n
Prohibici\u00f3n de tratamiento en la normativa europea actual. Excepciones:<\/b><\/p>\n
El RGPD, en su art\u00edculo 9.1<\/b>, afirma a las claras que \u00abquedan prohibidos<\/b> (…) el tratamiento de datos<\/b> (…) biom\u00e9tricos dirigidos a identificar de manera un\u00edvoca a una persona f\u00edsica<\/b>\u00ab<\/i>.<\/p>\n
Por tanto, la regla general es la<\/b> prohibici\u00f3n<\/b> de tratamientos que afecten a datos biom\u00e9tricos.<\/p>\n
Aun as\u00ed, el propio art\u00edculo 9.2 del RGPD establece una serie de<\/b> excepciones<\/b> a esa regla general<\/b>. Entre ellas es interesante resaltar dos casos en los que esta prohibici\u00f3n no es aplicable:<\/p>\n
– Cuando el tratamiento cuente con el consentimiento expreso<\/b> del interesado<\/b>.<\/p>\n
– Cuando el tratamiento sea necesario<\/b> \u00abpara el cumplimiento de obligaciones y el ejercicio de derechos espec\u00edficos del responsable del tratamiento<\/b> (…) en el \u00e1mbito del Derecho laboral<\/b>\u00ab<\/i>.<\/p>\n
Podr\u00eda pensarse que lo m\u00e1s sencillo para poder implementar sistemas de vigilancia biom\u00e9trica ser\u00eda solicitar por escrito el consentimiento de los empleados. Sin embargo, esto plantea dos graves problemas<\/b>:<\/p>\n
– \u00bfQu\u00e9 pasa con los empleados que se nieguen a ofrecer dicho consentimiento? (imag\u00ednese la intervenci\u00f3n del Sindicato del sector recomendando a sus sindicados que no lo presten).<\/p>\n
– El Grupo de Trabajo del Art\u00edculo 29 (GT29, en la actualidad Comit\u00e9 Europeo de Protecci\u00f3n de Datos o CEPD) desde hace tiempo dictamin\u00f3 que la relaci\u00f3n entre trabajadores y empleadores no es igualitaria, de manera que el consentimiento prestado por los primeros podr\u00eda no considerarse totalmente libre.<\/p>\n
Es m\u00e1s conveniente, por tanto, hacer uso del segundo mecanismo<\/b>. Porque resulta que, adem\u00e1s, el Derecho espa\u00f1ol ya prev\u00e9 y acepta<\/b> la posibilidad de realizar este tipo de controles biom\u00e9tricos.<\/p>\n
Obligaciones adicionales en el RGPD:<\/b><\/p>\n
No obstante, el RGPD prev\u00e9 una serie de obligaciones adicionales<\/b> para los responsables que usen estos mecanismos.<\/p>\n
En primer lugar, el RGPD exige aplicar siempre el principio de<\/b> \u00abminimizaci\u00f3n de datos<\/i><\/b>\u00bb (tener la menor cantidad de datos posible). Al usar un sistema biom\u00e9trico ser\u00eda recomendable hacer una ponderaci\u00f3n de si esa medida es proporcional y adecuada, o si existe alg\u00fan otro medio que permita conseguir el mismo fin. Y el propio Reglamento nos ofrece la manera de realizar esa ponderaci\u00f3n: a trav\u00e9s de una Evaluaci\u00f3n de Impacto relativa a la Protecci\u00f3n de Datos<\/b> (en adelante, EIPD).<\/p>\n
Simplificando, la EIPD no es otra cosa que una evaluaci\u00f3n de riesgos m\u00e1s centrada en la protecci\u00f3n de datos. La EIPD no siempre es obligatoria, pero el GT29 dictamin\u00f3 que pasaba a serlo, entre otros casos, cuando se aplicara a \u00abdatos relativos a sujetos vulnerables\u00bb<\/i>. Y en esta categor\u00eda incluy\u00f3 de forma expresa a los trabajadores. Por tanto, ser\u00eda obligatorio hacer una EIPD con cualquier tratamiento nuevo que afecte a los datos de los empleados<\/b>; y un sistema de acceso biom\u00e9trico lo es.<\/p>\n
Adem\u00e1s de ello, deber\u00edan implementarse<\/b> medidas de seguridad<\/b> adecuadas<\/b> para el tipo de datos que se est\u00e1 tratando (cifrado de la informaci\u00f3n, control de accesos al sistema, etc.). Esto tambi\u00e9n implica conocer las obligaciones relativas a las violaciones de seguridad<\/b> de los datos, que tienen en el RGPD un procedimiento de respuesta muy espec\u00edfico. Y por supuesto, los afectados deben ser conscientes de la existencia de este tipo de tratamiento y de cu\u00e1les son sus<\/b> derechos<\/b> al respecto. Si adem\u00e1s resulta que el sistema lo gestionan terceros, deber\u00e1n cumplir las obligaciones relativas a los encargados de tratamiento<\/b>.<\/p>\n
Resumiendo, si bien es posible utilizar mecanismos de identificaci\u00f3n biom\u00e9trica, los mismos deber\u00e1n llevarse a cabo con las garant\u00edas que exige el RGPD<\/b>, toda vez que, en caso contrario, la empresa estar\u00e1 cometiendo una infracci\u00f3n<\/b> que podr\u00eda ser sancionada.<\/p>\n
Fabi\u00e1n Plaza Miranda, <\/b>Auren Abogados y asesores Fiscales<\/b><\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Cada vez es m\u00e1s frecuente que las empresas hayan implantado un sistema electr\u00f3nico de control de presencia de empleados que sirve para verificar cu\u00e1ndo acceden a sus puestos de trabajo. Estos sistemas est\u00e1n alcanzando niveles de precisi\u00f3n que eran dif\u00edciles de imaginar hace solo unos a\u00f1os. Hoy d\u00eda no es raro implementar mecanismos que permitan verificar esa presencia con mayor fiabilidad, usando datos que dif\u00edcilmente pueden ser falsificados, como puedan ser las huellas dactilares, el iris, la voz o el rostro. En otras palabras, mecanismos de identificaci\u00f3n biom\u00e9trica.<\/p>\n","protected":false},"featured_media":4126,"template":"","meta":{"_acf_changed":false,"footnotes":""},"blog-category":[],"class_list":["post-4125","blog","type-blog","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog\/4125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/types\/blog"}],"version-history":[{"count":0,"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog\/4125\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/media\/4126"}],"wp:attachment":[{"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/media?parent=4125"}],"wp:term":[{"taxonomy":"blog-category","embeddable":true,"href":"https:\/\/aurenweb-stg.servidortemporal.net\/cl\/wp-json\/wp\/v2\/blog-category?post=4125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}