¿Cuáles son los requisitos para implantar el control horario mediante huella dactilar?

Comparte

Con motivo de la sanción impuesta por la AEPD a un Ayuntamiento por infracción del artículo 13 del RGPD (relativo a los deberes de información para la obtención datos de los interesados), la Agencia ha detallado una serie de aspectos a tener en cuenta en caso de querer implementar sistemas de control horario basados en el tratamiento de datos biométricos de los trabajadores. En particular, de acuerdo con la AEPD:

–      El trabajador deberá ser informado de los tratamientos que vayan a realizarse.

–      Deberán respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos. El tratamiento, además, deberá ser adecuado, pertinente y no excesivo con relación a dicha finalidad.

– Los datos biométricos deberán almacenarse como plantillas biométricas que no podrán ser utilizadas por otros responsables del tratamiento de sistemas similares.

–      Para garantizar que los datos biométricos no pueden ser reutilizados con otras finalidades, se implementarán medidas de seguridad. Asimismo, se utilizarán mecanismos como el cifrado para evitar el acceso y la utilización no autorizada de los datos. Por otro lado, los formatos de datos o las tecnologías empleadas deberán imposibilitar la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.

–      Los sistemas biométricos deberán ser diseñados de tal forma que resulte posible revocar el vínculo de identidad.

–      Los datos biométricos deberán ser suprimidos -preferiblemente a través de mecanismos automatizados- cuando no se vinculen a la finalidad que motivó su tratamiento.

En su resolución, la AEPD señala que, en particular, es necesario informar a los trabajadores de manera completa, clara y concisa cuando el empleador implementa un sistema de control horario a partir de la huella dactilar, siendo preciso, además, proporcionar la información básica recogida en el artículo 13 del RGPD.

Más allá de lo anterior, la Agencia recuerda que la huella dactilar es un dato biométrico y, como categoría especial de datos, requiere de la existencia no sólo de una base legitimadora de las previstas en el artículo 6 del RGPD, sino también de la concurrencia de alguna de las excepciones recogidas en el artículo 9.2 del RGPD. En este sentido, el ordenamiento jurídico español prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores, por lo que la AEPD entiende que puede resultar válido implantar un sistema que registre la presencia del trabajador a partir de sus datos biométricos -como la huella dactilar-, siempre que se haya realizado la preceptiva evaluación de impacto y se cumpla con los requisitos mencionados anteriormente. En el caso resuelto por la AEPD, se concluye que el Ayuntamiento no informó adecuadamente al trabajador de la existencia de este sistema de control ni del tratamiento que iba a efectuarse de sus datos, por lo que la Agencia impone sanción de apercibimiento al ente público.

Leer más

Posts relacionados que podrían interesarte

19, mayo 2021

La Autoridad Islandesa de Protección de Datos sanciona a una empresa tras una brecha de seguridad que afectó a 424 menores de edad

20, febrero 2025

La protección marcaria de “James Bond” podría verse debilitada

24, junio 2021

La pérdida de intimidad y el reconocimiento facial en espacios públicos

20, febrero 2025

China se replantea su prohibición de las criptomonedas

19, octubre 2023

La protección jurídica de los modelos de datos utilizados en el proceso de aprendizaje de las inteligencias artificiales generativas (IAG)

17, octubre 2024

Histórico fallo en Alemania: un tribunal determina que el uso de fotos por inteligencia artificial es legal bajo fines científicos