La Agencia Española de Protección de Datos (AEPD) ha cambiado su criterio sobre el tratamiento de datos biométricos para el control de presencia. Hasta ahora, la AEPD consideraba que estos tratamientos no suponían un tratamiento de categorías especiales de datos, sino que se limitaban a «verificar/autenticar» los rasgos de una persona ya identificada con anterioridad.
Sin embargo, la nueva guía de la AEPD, publicada el 23 de noviembre de 2023, establece que los tratamientos de control de presencia mediante sistemas biométricos sí suponen un tratamiento de categorías especiales de datos, por lo que deben cumplir con los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD).
Estos requisitos incluyen, entre otros, la necesidad de obtener un consentimiento específico e informado de los afectados, la adopción de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos y la limitación del tratamiento a los fines para los que fue recabado.
El cambio de criterio de la AEPD supone un importante avance en la protección de los derechos de los afectados por estos tratamientos.
En concreto, el nuevo criterio:
- Garantiza que los afectados sean informados de forma clara y precisa sobre el tratamiento de sus datos biométricos para el control de presencia.
- Refuerza la seguridad de estos datos, al exigir la adopción de medidas técnicas y organizativas adecuadas para protegerlos.
- Limita el tratamiento de los datos biométricos a los fines para los que fueron recabados, evitando su uso para otros fines, como la elaboración de perfiles.
El cambio de criterio de la AEPD puede tener un impacto significativo en las empresas que utilizan sistemas biométricos para el control de presencia. Estas empresas deberán adaptar sus sistemas y procesos para cumplir con los requisitos establecidos en la nueva guía de la AEPD.
¿Qué significa este cambio para las empresas?
Las empresas que utilizan sistemas biométricos para el control de presencia deberán realizar los siguientes cambios para cumplir con el nuevo criterio de la AEPD:
- Obtener el consentimiento específico e informado de los afectados. El consentimiento debe ser libre, específico, informado e inequívoco. Los afectados deben ser informados de forma clara y precisa sobre los datos que se van a tratar, los fines del tratamiento, las posibles consecuencias del tratamiento y sus derechos.
- Adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. Estas medidas deben proteger los datos biométricos frente a cualquier violación de seguridad, como el acceso, la divulgación, la modificación o la destrucción no autorizados.
- Limitar el tratamiento de los datos biométricos a los fines para los que fueron recabados. Los datos biométricos solo podrán utilizarse para los fines para los que fueron recabados, a menos que el afectado consienta su tratamiento para otros fines.
Las empresas que no cumplan con estos requisitos podrían ser sancionadas por la AEPD.