Guía sobre el uso de datos biométricos de la AEPD: ¿Una prohibición efectiva?
Guía sobre el uso de datos biométricos de la AEPD: ¿Una prohibición efectiva?
Ayo García
En noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) publicó una guía detallada sobre el tratamiento de datos biométricos (principalmente, huella dactilar y reconocimiento facial), para el control de presencia y acceso, abordando su aplicación dentro y fuera del contexto laboral.
Esta guía establece criterios dirigidos a garantizar el nivel de protección exigido por el Reglamento General de Protección de Datos (GDPR) en el tratamiento de datos biométricos, considerados como datos especialmente protegidos por tal cuerpo normativo. Sin embargo, surge la pregunta crucial: ¿prohíbe realmente la AEPD el tratamiento de datos biométricos para el control de acceso?
Principales puntos de la guía:
- El tratamiento de datos biométricos se considera de alto riesgo y cae bajo la categoría de datos especiales, según el GDPR.
- En el ámbito laboral, el consentimiento no puede ser la base para el tratamiento de datos biométricos, dado el desequilibrio de poder entre el empleador y el empleado.
- La guía sugiere que el uso del control biométrico debe justificarse con una ley específica que autorice su uso, lo que puede dificultar su implementación.
- La guía también aborda la autenticación y la identificación como procesos que involucran el tratamiento de datos biométricos, modificando su posición anterior.
Aunque la guía de la AEPD no prohíbe explícitamente el uso de datos biométricos para el control de acceso, establece barreras significativas y criterios estrictos que las empresas deben cumplir para llevar a cabo dicho tratamiento. En este sentido, el comportamiento de las empresas afectadas tras la publicación de las nuevas directrices de la AEPD parece ir en dos líneas:
- Reemplazar sus sistemas de control de acceso por otras tecnologías que permitan el mismo fin y garanticen, al mismo tiempo, su idoneidad, necesidad y proporcionalidad en el tratamiento de tales datos.
- La realización de una Evaluación de Impacto en la Privacidad (PIA) en la que que se analice el caso concreto y su posible legitimación.
Consulta la guía completa en: