El Consell aposta per analitzar la licitud, necessitat i proporcionalitat en els sistemes de reconeixement facial o empremta dactilar per al control horari
El Consell de Transparència i Protecció de Dades d’Andalusia ha emés un dictamen en resposta a una consulta plantejada per una Administració local sobre la legitimitat dels sistemes de reconeixement facial o empremta dactilar per al control horari, dictamen que subratlla la importància d’analitzar la licitud, necessitat i proporcionalitat en l’establiment d’un sistema d’aquestes característiques.
Sobre la licitud, el Consell recorda que, segons el Reglament General de Protecció de Dades (RGPD), el tractament de les dades biomètriques, categoria especial de dades personals, està en principi prohibit com a regla general. No obstant això, existeixen excepcions quan es donen determinades circumstàncies, com per exemple si el tractament és necessari per al compliment d’obligacions i drets específics del responsable del tractament o de l’interessat en l’àmbit del Dret laboral i de la seguretat i protecció social (com pot ser el control horari), aplicació que pot estendre’s a l’àmbit funcionarial.
En aquest sentit, s’ha d’afegir que l’actual normativa legal espanyola no inclou autorització per a considerar necessari el tractament de dades biomètriques en el control de l’horari d’una jornada de treball. Si bé, aquesta prohibició, precisa l’òrgan de control andalús, podria superar-se si els convenis col·lectius recolliren la citada autorització o habilitació d’un sistema d’aqueixes característiques per al personal laboral, així com es disposara en els acords sobre condicions de treball del personal funcionari.
El dictamen d’òrgan de control considera que el tractament podria considerar-se igualment legítim si es recaptara el lliure consentiment per part de l’interessat. No obstant això, adverteix que únicament podria considerar-se vàlid si l’interessat disposa d’una alternativa de lliure elecció per a complir amb el control horari o de presència, és a dir, el responsable del tractament haurà d’habilitar alternatives per als interessats sense que s’haja de realitzar un tractament de les seues dades biomètriques.
D’altra banda, l’autoritat de control destaca que és necessari analitzar la necessitat i proporcionalitat del sistema biomètric a implantar. En aquest sentit és fonamental examinar si el sistema és “essencial” per a satisfer la necessitat plantejada, i no sols “el més adequat o rendible”. Un altre destacat factor a tindre en compte és la “eficàcia” del sistema que es pretén desenvolupar, de manera que caldrà estudiar les característiques específiques de la tecnologia biomètrica a utilitzar.
A més, també s’ha d’avaluar si la pèrdua d’intimitat que es poguera produir és “proporcional” als beneficis esperats. Per tant, si el benefici és relativament menor, com una major comoditat o un lleuger estalvi, llavors la pèrdua d’intimitat no és apropiada. Un altre aspecte per a avaluar l’adequació d’un sistema biomètric és considerar si un mitjà menys invasiu de la intimitat aconseguiria el fi desitjat.
Recomanacions
Igualment, és convenient complir una sèrie de directrius i recomanacions, com ara que el treballador ha de ser informat sobre el tractament o que el principi de limitació de la finalitat haver de respectar-se juntament amb els altres principis.
El tractament haurà de ser adequat, pertinent i no excessiu en relació amb aquesta finalitat, de manera que les dades biomètriques han de ser suprimits quan no es vinculen a la finalitat que va motivar el seu tractament i, si fora possible, han d’implantar-se mecanismes automatitzats de supressió de dades .
A més, les dades biomètriques hauran d’emmagatzemar-se com a plantilles biomètriques sempre que siga possible, plantilla que haurà d’extraure’s de manera específica per al sistema biomètric en qüestió i no podrà ser utilitzada per altres responsables del tractament de sistemes similars.
D’un altre costat, el sistema biomètric utilitzathaurà d’emprar mecanismes basats en tecnologies de xifratge, a fi d’evitar la lectura, còpia, modificació o supressió no autoritzades de dades biomètriques.
Finalment, el responsable del tractament haurà de realitzar una avaluació d’impacte relativa a la protecció de dades establida en el RGPD amb caràcter previ a la posada en funcionament del sistema biomètric.
Consulta el dictamen íntegre en aquest enllaç.