Anúnciate en Noticias Jurídicas Newsletter Colabora con nosotros

TIENDA LA LEY

LA LEY. Librería Jurídica Online Profesional

TIENDA LIBROS FORMACIÓN BASES DE DATOS REVISTAS SOFTWARE DE GESTIÓN OBRAS ACTUALIZABLES

Noticias JurídicasOrigen https://noticias.juridicas.com

Actualidad Noticias
27/05/2024 12:27:41 . REPORTAJE 9 minutos

Uso de datos biométricos para identificación y autenticación, ¿qué dice la normativa?

Repasamos, de la mano de Grupo Atico34, las principales novedades legislativas referentes al empleo del reconocimiento facial, ocular o huella dactilar como métodos de control de acceso y verificación de identidad como métodos de control de acceso y verificación de identidad.

¿Se pueden usar dispositivos biométricos de reconocimiento facial, ocular o de huella dactilar para registrar la jornada laboral de los trabajadores? ¿Están aceptados estos sistemas como método de identificación o verificación de edad en internet? ¿Qué dice la normativa de protección de datos acerca del uso de los sistemas de identificación biométrica?

Para arrojar más luz sobre estas cuestiones hemos hablado con Marta Moral, abogada experta en protección de datos de Grupo Atico34, quien nos ha dado las principales claves para la elaboración de este contenido.

¿Cómo se puede registrar la jornada laboral de los trabajadores?

Desde el 12 de mayo de 2019, el registro de la jornada laboral se incorpora como una de las medidas obligatorias de lucha contra la precariedad laboral. Tal y como señala el RD-ley 8/2019, de 8 de marzo, “la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo”.

El modo para registrar la jornada laboral de los empleados se decidirá mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores.

La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social.

En cuanto a los métodos empleados para el registro de la jornada laboral, la normativa no establece, de momento, una forma específica. Lo que sí cabe decir es que el Gobierno ha promulgado una nueva Ley en la que se va a prohibir el registro de la jornada laboral en papel. El método empleado debe estar informatizado y permitir el acceso de manera telemática a los inspectores de trabajo.

En todo caso, cualquier sistema de registro empleado deberá respetar los derechos de los trabajadores a la intimidad en relación con el entorno y la desconexión digital previstos en el artículo 20 bis del Estatuto de los Trabajadores, que remite a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

¿Qué requisitos hay que cumplir para el registro de la jornada laboral?

El registro de la jornada laboral deberá cumplir con los siguientes requisitos:

- El registro de la jornada laboral será diario, incluyendo el horario concreto de inicio y finalización de la jornada de cada persona trabajadora, sin perjuicio de la flexibilidad horaria fijada que puedan haber pactado las partes, establecida por el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.

- El plazo de conservación de los registros de la jornada laboral será de 4 años.

- Todos los trabajadores, sus representantes legales y la Inspección de Trabajo y Seguridad Social tendrán acceso a estos registros.

¿Se pueden usar los dispositivos de reconocimiento biométrico (facial, iris, huella dactilar) para el registro de la jornada laboral? 

Respecto al uso de datos biométricos, el pasado 23 de noviembre de 2023, la Agencia Española de Protección de Datos publicó una nueva Guía sobre el uso de datos biométricos para el control de presencia y acceso. 

En este sentido, la AEPD ha cambiado su criterio respecto a la licitud del tratamiento de datos biométricos para el control de presencia, considerándolo actualmente como un tratamiento de alto riesgo debido a la categoría especial de los datos que se tratan (artículo 9.1 del Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).

En aplicación de las directrices publicadas por el CEPD (Comité Europeo de Protección de datos) en mayo de 2022, la AEPD establece que el tratamiento de datos biométricos está prohibido salvo que concurran las circunstancias previstas en el artículo 9 del RGPD, en concreto, la necesidad para el cumplimiento de obligaciones legales o el consentimiento explícito de los trabajadores para levantar su prohibición.

En cuanto al registro de la jornada laboral y control de acceso con fines laborales, la AEPD considera que el consentimiento prestado por los trabajadores para su utilización no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento (trabajador) y quien lo está llevando a cabo (empresa) que hace que el consentimiento no se esté prestando libremente.

Por ello, lo más recomendable es la utilización de tarjetas identificativas o cualquier otra medida alternativa que no implique el tratamiento de datos biométricos.

¿Existe algún caso especial en que se puedan usar dispositivos biométricos para el control de acceso?

La AEPD establece que, previo al tratamiento de datos biométricos, es obligatorio elaborar una Evaluación de Impacto relativa a la protección de datos estipulada en el artículo 35.7 del RGPD en la que la empresa acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de estos datos.

De acuerdo con lo mencionado anteriormente, sí sería factible establecer el control de acceso mediante biometría vía Convenio Colectivo o, en su defecto, justificar en el interés público esencial el uso de estos sistemas en condiciones específicas de seguridad por motivos justificados. También estaría justificado, por ejemplo, si existiese una obligación judicial para ello, por ejemplo por petición de un tribunal.

¿Cómo se deben tratar los datos biométricos recabados?

Superados los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas de identificación o autenticación, deben implementarse garantías organizativas, técnicas y jurídicas.

En particular, al menos han de estar presentes las siguientes medidas:

- Informar a los trabajadores sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.

- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.

- Implementar medios técnicos para asegurar la imposibilidad de utilizar las plantillas para cualquier otro propósito.

- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.

- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.

- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.

- Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no hay posibilidad de revelar categorías especiales de datos adicionales.

¿Y qué hay del uso de dispositivos biométricos para controlar el acceso de menores a contenidos para adultos en internet?

La Ley General de Comunicación Audiovisual de 2022 exige, como medidas para la protección de personas menores de edad frente a determinados contenidos audiovisuales, que los prestadores de servicios de intercambio de vídeos a través de plataforma han de establecer y operar sistemas de verificación de edad de las personas usuarias con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de la población menor de edad y que, en todo caso, impidan su acceso a los contenidos más nocivos como la violencia gratuita o la pornografía.

Entre los principios relativos al tratamiento de datos que recoge el RGPD encontramos el principio de minimización (art. 5.1.c) por el cual los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. 

A este respecto, en el artículo 28 de la DSA “Protección de los menores en línea” (Reglamento de Servicios Digitales), establece que la verificación de edad, y la protección del interés superior del menor, no es una base jurídica que legitime el tratamiento adicional de datos de una persona menor de edad.

El uso de sistemas biométricos puede poner en riesgo al menor, bien al exponerlo a servicios maliciosos, bien recogiendo datos excesivos, o bien identificando a una persona como menor ante proveedores de servicios o terceras entidades intermediarias entre la persona usuaria y el contenido. Además, suponen un tratamiento de datos de personas menores de edad, que tendría que estar legitimado y cumplir con otros requisitos del RGPD relativos, entre otros, a la información específica al menor o las limitaciones a la obtención del consentimiento y realización de contratos de servicio.

¿Qué métodos sí serían legales o estarían aceptados para limitar el acceso de menores a internet? 

De acuerdo con el Decálogo de principios de la AEPD en relación con la verificación de la edad y protección de personas menores de edad ante contenidos inadecuados, cualquier sistema de verificación de la edad para que sea legal debe cumplir con los siguientes principios:

1. El sistema de protección de personas menores de edad ante contenidos inadecuados debe garantizar que no es posible la identificación, el seguimiento o la localización de menores a través de Internet.

2. La verificación de edad debe estar orientada a que las personas con la edad adecuada acrediten su condición de “persona autorizada a acceder”, y no permitir la acreditación de la condición de “menor de edad”.

3. La acreditación para el acceso a contenidos inadecuados debe ser anónima para los proveedores de servicios de Internet y terceras entidades.

4. La obligación de acreditar la condición de “persona autorizada a acceder” estará limitada únicamente al contenido inadecuado.

5. La verificación de edad se debe realizar de forma cierta y la edad categorizada a “persona autorizada a acceder”.

6. El sistema debe garantizar que las personas no pueden ser perfiladas en función de su navegación.

7. El sistema debe garantizar la no vinculación de la actividad de una persona entre distintos servicios.

8. El sistema debe garantizar el ejercicio de la patria potestad por los progenitores.

9. Todo sistema de protección de personas menores de edad ante contenidos inadecuados debe garantizar los derechos fundamentales de todas las personas en su acceso a Internet.

10. Todo sistema de protección de personas menores de edad ante contenidos inadecuados debe tener definido un marco de gobernanza. 
 

OJODATOSBIOMÉTRICOSIDENTIFICACIÓNLABORALPRIVACIDADINTIMIDADDATOSRGPD

Te recomendamos