La guía ‘Tratamientos de control de presencia mediante sistemas biométricos’ fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que deben tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD), entre otras normativas.

La agencia que preside Mar España considera el empleo de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de “alto riesgo” que incluye categorías especiales de datos, y por ello, el reglamento supedita su uso a que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.

En el caso de registro de jornada y control de acceso con fines laborales, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de éste, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.

En el caso del control de accesos fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levante la prohibición.

La guía desgrana las restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.

El manual precisa que en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento será obligatoria la realización de una ‘Evaluación de Impacto para la Protección de Datos’ en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.

La agencia incluye en la guía un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del reglamento, entre las que figuran las de informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo, e implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.

También hay que utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada, y suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.