La Agencia Española de Protección de Datos (a continuación, AEPD) ha hecho públicas algunas de las principales preguntas y respuestas planteadas por los asistentes en la 10ª Sesión Anual Abierta de la institución, que tuvo lugar el pasado mes de junio.
Una de las materias que más duda y debate suscitó fue el concepto de dato biométrico y sus implicaciones en cuanto a su tratamiento.
La normativa española anterior al Reglamento General de Protección de Datos (en adelante, RGPD), la Ley Orgánica de Protección de Datos (en adelante, LOPD), aún vigente, no recogía una definición concreta de “”, sino que éste se incluía en el concepto general de dato personal y su procesamiento se subsumía en los requisitos comunes dictados tanto en el texto legal como por la correspondiente entidad de supervisión y Tribunales.
El RGPD otorga sin embargo a este dato un tratamiento diferenciado, pues recoge una definición y categorización expresa de dicho concepto. Así, el artículo 4 (14) RGPD concibe “datos biométricos” como aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Asimismo, en virtud del artículo 9 RGPD, se considera explícitamente una categoría especial de dato personal, lo que implica que su tratamiento queda prohibido salvo determinadas excepciones, como el consentimiento explícito.
A partir de dichas excepciones, surgieron algunas de las cuestiones planteadas en la mencionada Sesión Anual de la AEPD, como lo es el planteamiento de cómo debería configurarse el consentimiento explícito para el uso de tecnologías biométricas de reconocimiento facial en la entrada de establecimientos en el caso de que no aplique ninguna de las excepciones reguladas en el artículo 9 GDPR.
A este respecto, la AEPD confirmó la inclusión del tratamiento del rostro con software de reconocimiento facial en el concepto de dato biométrico, conforme al considerando 51 RGPD, y recordó en consecuencia la necesidad de tomar en cuenta los principios de minimización y licitud del tratamiento. Concretamente, consideró que dicha implementación podría ser plausible en el ámbito laboral, dado que se podría considerar como una medida de control por el empresario, la cual, sujeta al requisito de proporcionalidad, está admitida por el artículo 20 del Estatuto de los Trabajadores. Para el resto de los supuestos no existiría una habilitación similar, salvo en aquellos casos en los que dicho tratamiento se destinase a preservar la seguridad de determinadas instalaciones, como las estratégicas.
Se trató también dicha materia desde la perspectiva de la huella dactilar, respecto de lo que se preguntó sobre la necesidad de pedir consentimiento expreso en caso de aparatos fichadores en las empresas.
La AEPD alegó de nuevo el artículo 20 del Estatuto de los Trabajadores, que permite considerarlo como una medida de control que no necesita consentimiento del empleado; no obstante, matizó la aclaración y destacó la importancia del principio de minimización, por el cual la medida habrá de limitarse a los supuestos en que se considere realmente necesaria. De la misma forma, la AEPD reafirmó su postura en las últimas resoluciones en este ámbito, en las cuales se aboga por la implantación de buenas prácticas que permitan el control a través de la huella digital sin que el sistema tenga que almacenar el dato biométrico; por ejemplo, por su incorporación a una tarjeta inteligente que se contraste con la huella y se mantenga siempre en poder del trabajador. (Ver Resolución R/01410/2018). Cabe recordar en este punto que la AEPD ha mantenido también a este respecto un criterio por el cual se sitúa el principio de información como principal, de tal modo que tales sistemas de control requieren de la debida comunicación previa al trabajador (Ver Expediente N.º: E/02116/2016).
