El uso de la huella dactilar o el reconocimiento facial como método de control en empresas ha sido un tema recurrente, pero la Agencia Española de Protección de Datos (AEPD) ha sacudido el escenario con un cambio significativo en su criterio. Ahora, considera ilegales los sistemas biométricos usados para el control de entrada o registro horario, a menos que existan circunstancias excepcionales que justifiquen su uso por encima de métodos que no utilicen datos considerados de «alto riesgo».

«Guía Tratamientos de control de presencia mediante sistemas biométricos»

El reciente documento «Guía Tratamientos de control de presencia mediante sistemas biométricos» publicado por la AEPD detalla esta nueva interpretación que pretende asegurar que estos métodos se ajusten a las normativas de protección de datos. La rápida evolución tecnológica ha llevado a la AEPD a revaluar su postura, considerando la posibilidad de recoger información sin el conocimiento de las personas y el uso de inteligencia artificial para inferir datos adicionales.

Este consentimiento no se otorga de manera libre

La principal modificación en el criterio se centra en el consentimiento de las personas que usan estos sistemas. La AEPD sostiene que este consentimiento no se otorga de manera libre si no existe una alternativa para entrar o fichar que no implique datos biométricos. Se afirma que en entornos laborales donde estos sistemas se imponen, se crea un desequilibrio de poder entre empleado y empleador, afectando la libre decisión del trabajador.

El tratamiento de datos biométricos es de alto riesgo

La Agencia recalca que el tratamiento de datos biométricos es de alto riesgo y requiere una justificación sólida y una condición que lo legitime. Se establece que la ventaja económica o sencillez de implantación no serán consideradas justificaciones suficientes.

En este contexto, la AEPD no especifica claramente qué situaciones pueden ser excepciones, lo que ha generado incertidumbre entre los especialistas en protección de datos. Sin embargo, descarta el control horario laboral y la necesidad de ejecutar contratos como excepciones válidas.

La vía alternativa que permitía el uso de biometría si existía un sistema para no usarla también queda invalidada bajo el nuevo criterio. Si hay formas de evitar el uso de datos biométricos, entonces la opción biométrica no es necesaria según esta nueva interpretación.

La recomendación de la AEPD

La recomendación de la AEPD es que las empresas valoren alternativas al tratamiento de datos biométricos que impliquen un menor riesgo para los derechos y libertades de las personas. En caso de existir esos métodos alternativos, el procesamiento de datos biométricos deja de ser necesario.

Este cambio de criterio no solo implica posibles sanciones económicas para las empresas, sino que puede abrir la puerta a indemnizaciones por daños y perjuicios por parte de los empleados afectados. En una reciente sentencia, se reconoció el derecho de un trabajador a recibir una indemnización por la aplicación ilegal de un sistema de reconocimiento facial.

Es esencial que las empresas revisen sus sistemas de control de acceso y adopten medidas para cumplir con estas nuevas directrices de la AEPD. Considerar métodos alternativos menos invasivos y revisar los sistemas de control horario se vuelve crucial para evitar posibles sanciones y demandas.

En resumen, estas modificaciones en las directrices de la AEPD instan a las empresas a revisar y, si es necesario, reemplazar los sistemas biométricos por opciones no biométricas para evitar posibles incumplimientos y demandas legales.

Este artículo pretende alertar sobre los cambios normativos y orientar a las empresas sobre la importancia de revisar sus sistemas de control biométrico para asegurar el cumplimiento de las regulaciones vigentes. La necesidad de buscar alternativas y tomar medidas concretas para proteger la privacidad de los empleados se vuelve una prioridad en el actual escenario de cambios en las políticas de protección de datos.