El nou criteri de l’Agència Espanyola de Protecció de Dades

19 des., 2023

Des de Dartem us portem un nou article on trobareu tota la informació sobre el nou criteri de l’Agència Espanyola de Protecció de Dades (AEPD), sobre l’ús de l’empremta dactilar i del reconeixement facial, per realitzar el registre horari dels treballadors o el control d’accés a una empresa o establiment.

Aquest nou criteri l’ha establert a la seva GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS, publicada el 23 de novembre de 2023.

 

L’AEPD ha canviat el seu criteri anterior i ara ha limitat tant l’ús de l’empremta dactilar i del reconeixement facial per realitzar el registre horari o el control d’accés, que de facto NO HO PERMET, encara que sigui amb el consentiment del treballador.

 

Quina raó ha portat a la introducció d’aquest nou criteri?

La raó d’aquest canvi de criteri es troba en les  darreres directrius del Comitè Europeu de Protecció de Dades sobre aquest tema, que les Autoritats competents dels estats de la UE han d’aplicar.

El problema legal és que l’empremta dactilar i el reconeixement facial són dades biomètriques. Aleshores, poden identificar una persona de forma única, i per aquesta raó són dades molt sensibles. El seu tractament està regulat de manera estricta al Reglament Europeu de Protecció de Dades i tenen la consideració de dades de categoria especial.

En l’àmbit laboral, a partir d’ara està prohibit el tractament de l’empremta dactilar i el reconeixement facial per al registre de jornada o el control d’accés. En cas que ho autoritzés expressament un dels següents casos seria possible:

  • Una norma amb rang de llei.
  • Un conveni col·lectiu que estableixi tota una sèrie de garanties en el tractament d’aquestes dades.

Malgrat això, aquestes normes actualment no existeixen.

Motius que han portat el nou criteri de l’Agència Espanyola de Protecció de Dades

L’Agència Espanyola de Protecció de Dades (AEPD) ha interpretat que els articles 20.3 i  34.9 de l’Estatut dels Treballadors (ETT), no són suficients per autoritzar el tractament de dades biomètriques amb aquesta finalitat. Tampoc l’art. 54.2 del text refós de la Llei de l’Estatut Bàsic de l’Empleat Públic (EBEP), per al personal sotmès a una relació jurídica administrativa.

Per tant, perquè una empresa pugui tractar l’empremta dactilar o fer servir el reconeixement facial dels seus treballadors per al registre de jornada o el control d’accés, cal que s’aprovi una llei que ho autoritzi o un conveni col·lectiu que li sigui aplicable i que estableixi les garanties adequades per a aquest tractament.

Tampoc serveix que el treballador doni el seu consentiment. La raó és que l’AEPD considera que, en aquest context, hi ha un desequilibri de poder entre el treballador i l’ocupador que pot fer que el consentiment no es presti lliurement. En cas que s’ofereix al treballador una alternativa real que no necessiti el tractament de dades biomètriques per fer el control de presència, l’AEPD conclou que el tractament de dades biomètriques per al registre de jornada o el control d’accés no és necessari i, per tant, no és legítim.

Què en podem treure d’aquest canvi de l’Agència Espanyola de Protecció de Dades?

En definitiva, en l’estat actual de la qüestió. Fins que no s’aprovi una llei que específicament permeti l’ús de les dades biomètriques per al registre de jornada o el control d’accés, o sigui d’aplicació un conveni col·lectiu que estableixi les garanties adequades per a aquest tractament, mantenir aquests sistemes pot ser considerat per l’AEPD com una falta greu i, per tant, susceptible d’imposició de sancions.

L’AEPD també dona informació a la seva guia. Quan es pugui realitzar aquest tractament de dades biomètriques, és a dir quan una llei ho permeti, o quan un conveni col·lectiu ho contempli, perquè sigui legal s’hauran d’aplicar les mesures següents:

  • Informar les persones sobre el tractament biomètric i els riscos elevats que hi estan associats.
  • Implementar al sistema biomètric la possibilitat de revocar l’enllaç d’identitat entre la plantilla biomètrica i la persona física.
  • Implementar mitjans tècnics per assegurar-se la impossibilitat de fer servir les plantilles per a qualsevol altre propòsit.
  • Utilitzar xifratge per protegir la confidencialitat, disponibilitat i integritat de la plantilla biomètrica.
  • Utilitzar formats de dades o tecnologies específiques que impossibilitin la interconnexió de bases de dades biomètriques i la divulgació de dades no comprovada.
  • Suprimir les dades biomètriques quan no es vinculin a la finalitat que en va motivar el tractament.
  • Implementar la protecció de dades des del disseny.