Sincro > Blog > Actualidad laboral > ¿Cuáles son los 6 puntos que hay que cumplir en materia de protección de datos para implantar un sistema de registro de jornada basado en datos biométricos?

04 Feb
registro de jornada con huella dactilar protección de datos

¿Cuáles son los 6 puntos que hay que cumplir en materia de protección de datos para implantar un sistema de registro de jornada basado en datos biométricos?

Una reciente resolución (PS/0052/2021) de la Agencia Española de Protección de Datos (AEPD) ha vuelto a poner el foco en el registro diario de jornada mediante sistemas de control basados en datos biométricos.

En este artículo, Ulises González, Director de la Delegación de Prodat en Madrid, explica todo lo que deben tener en cuenta las empresas a la hora de decidir implantar un sistema de registro basado en datos biométricos que cumpla con la normativa en materia de protección de datos.

El uso de datos biométricos ha vuelto a ser el motivo central de las últimas semanas en el ecosistema de los profesionales de la privacidad y la gestión empresarial de los datos personales.

El motivo es una nueva resolución de la Agencia Española de Protección de Datos (AEPD) donde se pone de manifiesto la importancia de realizar una evaluación de impacto (EIPD) antes de realizar un tratamiento de datos biométricos con el fin de llevar a cabo el registro de jornada laboral.

Los antecedentes son conocidos: el RDL 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral obliga a las empresas a elaborar un registro de la jornada de cada empleado de la compañía (registro diario de la jornada).

Ante esta obligación, muchas organizaciones optaron por llevar a cabo dicho control a través de software de control de acceso a través de la identificación mediante huella dactilar, lo que conlleva el tratamiento de datos biométricos.

Como base resumen sobre el tratamiento legal de los datos biométrico, son 4 los puntos que debemos tener en cuenta:

  1. Definición

Se define por el propio RGPD en el artículo 4.14 como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

2. Hay que diferenciar la identificación (es proceso de reconocer a un individuo particular entre un grupo, y que compara los datos del individuo a identificar con los datos de cada individuo en el grupo) de la autenticación (es el proceso de probar que es cierta la identidad reclamada por un individuo, y que compara los datos del individuo únicamente con los datos asociados a la identidad reclamada) como finalidad en el tratamiento de datos biométricos.

3. Prohibición general de tratar datos biométricos

El artículo 9 RGPD establece la prohibición del tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física. El mismo artículo establece las excepciones a la regla general.

  1. Lista del art 35.4 RGPD con los tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (EIPD):

La lista de tratamientos que requieren realizar una EIPD, publicada por la Autoridad de control española (AEPD), ha incluido entre aquellos, el tratamiento que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

Teniendo en cuenta los cuatro puntos básicos anteriores y, a la luz de la Resolución PS/00052/2021 de la AEPD (sanción de 20.000€), nos planteamos en este artículo las siguientes cuestiones:

 

  1. ¿Qué tiene que hacer una empresa desde el punto de vista de protección de datos para poder implantar un registro de jornada basado en datos biométricos?

Lo primero que debe hacer una empresa a la hora de escoger el sistema de registro de jornada es valorar si resulta necesario basarlo en datos biométricos, deberá lanzarse una cuestión de proporcionalidad: puesto que los datos biométricos solo pueden utilizarse si son adecuados, pertinentes y no excesivos, ser requerirá que deba realizarse una evaluación estricta de la necesidad y la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva (p.e. tarjetas).

Existiendo un primer resultado positivo y que justifique, en términos de proporcionalidad, la ausencia de otras formas de alcanzar el resultado con un menor impacto en la privacidad se deberá cumplir con la obligación de realizar, previamente al tratamiento, una evaluación del impacto sobre el tratamiento de registro de jornada horaria.

Así, antes de implementar el sistema, teniendo en cuenta la privacidad desde el diseño y por defecto, la EIPD aportará soluciones para adecuar la base legitimadora del tratamiento analizado, las medidas de seguridad adicionales para el respeto a la privacidad en el entorno laboral, la seguridad del tratamiento, así como todos aquellas medidas que deban implementarse para mitigar los altos riesgos que puedan constatarse para los derechos y libertades de las personas.

 

  1. Viendo lo exigente que es la AEPD en torno a los sistemas de registro de jornada con huella dactilar, ¿cómo hay que realizar la evaluación de impacto para no tener problemas desde el punto de vista de la protección de datos?

Para dar contestación a la cuestión planteada es importante recordar que existe una guía de “Gestión del riesgo y evaluación de impacto en tratamientos de datos Personales” publicada por la AEPD y que trata de orientar a los responsables y encargados del tratamiento.

No obstante, no se trata de una metodología de obligada y vinculante aplicación, sino que corresponde a los responsables o encargados el escoger la metodología que mejor estimen para conseguir el resultado de protección que persigue la normativa.

De más está decir que la guía que aporta la AEPD contiene una metodología orientada a los derechos y libertades de los interesados y que recoge los criterios, dictámenes y orientaciones emanadas del Comité Europeo de Protección de Datos (así como los del GT29) y el Supervisor Europeo de Protección de Datos.

Entrando en materia, se señala a continuación un resumen de pasos a seguir para aplicar una metodología de Evaluación de Impacto de Protección de Datos (EIPD) enfocada en el tratamiento analizado:

  • Es importante partir de la descripción del tratamiento, optando por realizar un mapa de los datos (o un análisis del ciclo de vida), en el que podrá obtenerse una primera visión de la categorización, tipología y volumen de los datos, método y vías de recogida, participantes en el procesamiento, tecnología aplicada al tratamiento de los datos, conservación de los datos y la supresión o bloqueo.
  • Deberemos analizar las finalidades para la recogida de los datos personales.
  • Qué base legitimadora de las del art. 6.1 RGPD se ajustará más al tratamiento de los datos biométricos con la finalidad/es concretadas.
  • Una verificación de los terceros proveedores de servicio que participarán en el tratamiento como Encargados, debiendo prestar una especial diligencia en firmar el correspondiente contrato de encargo, verificar si existen transferencias internacionales de datos y realizar las verificaciones necesarias para obtener garantías de cumplimiento del RGPD por parte de dichos encargados.
  • Analizaremos las medidas técnicas/organizativas.
  • Justificaremos en un análisis de necesidad de realizar una EIPD y un análisis de obligación de realizar una EIPD, de forma que se quede documentado por qué se realiza la EIPD.
  • Llegados a este punto, nos adentramos en la parte más importante de la EIPD, que comienza aplicando la metodología de análisis de riesgos escogida y que debe tener un enfoque centrado en los derechos y libertades de las personas.

 

 

Para la evaluación del nivel de riesgo asociado a un tratamiento hay que realizar las siguientes tareas:

  • Identificar los factores de riesgo o amenazas para los derechos y libertades.
  • Analizar los mismos, en su impacto y probabilidad (valoración de los factores de riesgo), para poder llevar a cabo la evaluación del nivel de riesgo inherente que se deriva de cada uno de los factores de riesgo.
  • Evaluar el nivel global del riesgo (valoración de riesgo inherente) del tratamiento para los derechos y libertades del tratamiento.

 

 

 

  • Matriz de Riesgos de Privacidad en función de la Probabilidad y el Impacto

 

 

 

 

 

 

 

  • La organización, junto con su DPD, ha de seleccionar o definir las medidas y garantías más adecuadas para tratar los riesgos específicos que se hayan identificado
  • Valoración del riesgo residual: una vez implantadas las medidas de reducción de riesgos, se deberá evaluar el estado del riesgo inherente, pasando a residual.
  • Riesgos asumibles: Dado que el nivel de “riesgo cero” no existe, la organización deberá encontrar un compromiso entre el nivel de riesgo residual alcanzado y la viabilidad del tratamiento.
  • Consulta previa del art. 36 RGPD: Una vez aplicadas las medidas y controlados los riesgos del tratamiento, la EIPD deberá arrojar los valores de riesgos del análisis. En el caso de que siga existiendo un riesgo alto para los derechos y libertades de las personas, se podrá acudir a la consulta previa que se debe realizar a la autoridad de control para que ésta autorice o se pronuncie sobre la puesta en marcha del tratamiento.
  • Revisión del nivel de riesgo: el riesgo de un tratamiento no es estático, con lo que deberán establecerse controles periódicos de revisión del nivel del riesgo del tratamiento.

 

Conclusión: los 6 puntos que hay que cumplir para un registro de jornada mediante datos biométricos

Éstos son los 6 puntos que deberá observar su empresa para poder llevar a cabo un registro de jornada horaria mediante sistema de control basado en datos biométricos:

  1. Deberá analizarse la necesidad y proporcionalidad de utilizar datos biométricos para esta finalidad.
  2. Deberá realizarse una EIDP previa al tratamiento.
  3. Deberá cumplirse el principio de transparencia informando al trabajador en el momento de la recogida o del tratamiento de los datos biométricos.
  4. En su caso, deberá obtenerse el consentimiento expreso e informado del trabajador.
  5. Deberá facilitarse un método alternativo de acceso (por ejemplo, con registro manual o mediante tarjeta).
  6. Deberá aplicarse las medidas para garantizar la seguridad de los datos durante todo su ciclo de vida (recogida, conservación y supresión).

(*) Este artículo constituye un compendio de recomendaciones generales a la vista de un supuesto general e hipotético. Las concretas medidas a implementar serán las que arrojen la propia EIPD que realice el Responsable del tratamiento, junto con el asesoramiento del DPD de la entidad, que quiera implementar en sus sistemas un registro mediante datos biométricos.

 

Por: Redacción Redacción de noticias

Buscar

Posts más leídos

Categorías

¡Síguenos en nuestras redes sociales y entérate de todo!

Llámanos

x

Utilizamos cookies para mejorar tu experiencia. Si continúas, consideramos que aceptas el Uso de cookies

Acepto