ANÁLISIS Y CONCLUSIONES DE LA
GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS
PUBLICADA POR LA AEPD EL 23/11/2023
1. RECTIFICA
El criterio que hasta ahora venía sosteniendo la AEPD de que cuando los datos biométricos se empleaban para verificar la identidad de una persona es decir para autenticar, no se consideraban datos de categoría especial; para a partir de ahora sumarse al criterio de otras autoridades de control autonómicas (APDCAT y CTPDA) y el propio CEPD (Directrices 05/2022 sobre el uso de reconocimiento facial) de considerar que, tanto en caso de identificación como en caso de autenticación, los datos biométricos se consideran de categoría especial.
2. SE REFIERE
Al conjunto del art. 24 GDPR como “Gestión del riesgo” y no “solo” como “Análisis de riesgos”, confiriendo la misma importancia de ese modo, como hace el propio precepto, a todas las fases del proceso (identificación, análisis, evaluación y tratamiento del riesgo) y no solo a una de ellas (análisis de riesgo).
3. RECUERDA
Que en estos casos se debe realizar una EIPD porque se dan más de dos criterios de los establecidos en el listado de tratamientos obligados a realizar una EIPD, publicado conforme al art. 35.4 por la propia AEPD; en este caso, el tratamiento de datos de categoría especial, datos biométricos y uso de nuevas tecnologías.
Además, dicha EIDP, deberá incluir y superar el triple juicio de idoneidad, necesidad y proporcionalidad estricta establecido en el art. 35.7.b) GDPR.
El levantamiento de la prohibición de tratar los datos biométricos no puede basarse en el artículo 9.2.b) GDPR, puesto que la actual normativa española no contiene ninguna autorización para considerar necesario el tratamiento de datos biométricos con la finalidad de un control de presencia.
4. AÑADE
Que en el ámbito laboral, para el levantamiento de la prohibición de tratar los datos biométricos en base al consentimiento del interesado, art. 9.2. a) GDPR, se podría valorar si el consentimiento es válido cumpliendo con los requisitos de los arts. 4.11 y 7 GDPR, cuando se ofrezcan a los interesados otras alternativas al control que no precisen el tratamiento de datos biométricos, sin embargo, si existen otras alternativas que impliquen menor riesgo para los derechos y libertades de las personas afectadas, el procesamiento de datos biométricos deja de ser necesario para la implementación del tratamiento.
Al no ser necesario el tratamiento de datos biométricos, no se estaría cumpliendo con el principio de minimización de datos del art. 5.1.c) GDPR, y al ser un tratamiento de alto riesgo, no cumpliría tampoco el requisito de necesidad que impone el art. 35.7.b). GDPR. Si el tratamiento es de alto riesgo, además de ser necesario, tiene que demostrarse la evaluación positiva de necesidad, que en este caso no se cumpliría, precisamente por esa falta de necesidad.
Si existen alternativas al tratamiento de datos biométricos, que las hay, en la propia guía y en otras publicaciones de las otras autoridades de control se proponen algunas, el tratamiento no supera el juicio de necesidad y, por tanto, no podrá llevarse a cabo.
Un análisis similar podría establecerse para el control de acceso con finalidades diferentes a las laborales. El consentimiento debe ser libre, específico, informado e inequívoco. Entre otros, el responsable del tratamiento debe establecer un método alternativo para poder realizar el control de acceso, sin tener ninguna consecuencia para la persona que no quiera utilizar el control de acceso mediante un tratamiento de datos biométricos.
De igual forma que en el caso anterior, debe demostrarse la necesidad objetiva (requisito para tratamientos de alto riesgo) y las posibles alternativas, de tal manera que para poder tratar esos datos biométricos no exista otra alternativa que sirva para satisfacer la necesidad identificada y que implique un riesgo menor en los derechos y libertades de las personas físicas.
5. CONCLUSIÓN
INFORMACIÓN RELACIONADA, PUBLICADA POR PRIVACY DRIVER