AEPD restringe el tratamiento de datos biométricos para control de acceso
La Agencia Española de Protección de Datos (AEPD) lanza una nueva actualización de su Guía para Tratamientos de Control de Presencia mediante Sistemas Biométricos, a la vista de la rápida evolución tecnológica asociada a este tipo de tratamiento de datos personales, incluido el uso de inteligencia artificial, así como la posibilidad de obtención de datos especialmente protegidos sin transparencia y cooperación por parte del interesado, circunstancia señalada por la autoridad en recientes procedimientos sancionadores.
En consecuencia, la AEPD adopta una postura restrictiva sobre la legitimidad del tratamiento de datos biométricos con fines de identificación y autenticación de personas, en comparación con las interpretaciones anteriores establecidas por distintas autoridades, como la Information Comissioner’s Office del Reino Unido.
Según la autoridad española, el tratamiento de datos personales para ambos fines en el contexto de una relación laboral no puede justificarse por el consentimiento de los interesados, dada la relación de subordinación inherente a la dinámica laboral. La hipótesis para la legitimación del tratamiento en estos casos sería la existencia de una norma con rango de ley que autorice específicamente el uso de datos biométricos para este fin.
En cuanto a los contextos de tratamiento que no son de naturaleza laboral, tampoco puede justificarse el uso de datos especialmente protegidos basado en el consentimiento de los interesados, teniendo en cuenta el alto riesgo asociado y la incompatibilidad con el principio de necesidad.
Finalmente, la AEPD destaca la importancia de realizar una evaluación de impacto a la protección de datos biométricos, así como considera necesario tener en cuenta el impacto de herramientas de inteligencia artificial y decisiones automatizadas sin intervención humana, una amplia transparencia en el tratamiento, la posibilidad de revocar el vínculo de identidad por parte del interesado y la limitación de la finalidad del tratamiento y divulgación de los datos personales.