Inicio » ANÁLISIS A LA RESOLUCIÓN EXP202202960 AEPDSOBRE RJ MEDIANTE HUELLA DACTILAR

ANÁLISIS A LA RESOLUCIÓN EXP202202960 AEPDSOBRE RJ MEDIANTE HUELLA DACTILAR

ANÁLISIS A LA RESOLUCIÓN EXP202202960 AEPDSOBRE RJ MEDIANTE HUELLA DACTILAR

RESOLUCIÓN EXP202202960 AEPD

Los incumplimientos esenciales identificados en el procedimiento sancionador llevado a cabo por la Agencia Española de Protección de Datos (AEPD) en esta resolución se centran en tres áreas críticas bajo el Reglamento General de Protección de Datos (RGPD):
1.- Falta de Información Adecuada (Artículo 13 RGPD): No se informó adecuadamente a los trabajadores sobre el tratamiento de sus datos biométricos, omitiendo detalles esenciales como la finalidad específica del tratamiento, la base legal, los derechos de los interesados y el período de conservación de los datos.
2.- Falta de Medidas de Seguridad (Artículo 32 RGPD): No se establecieron medidas técnicas y organizativas adecuadas para asegurar la protección de los datos biométricos, incluyendo la falta de controles para prevenir el acceso no autorizado y garantizar la eliminación segura de los datos biométricos después de su uso.
3.- Ausencia de Evaluación de Impacto (Artículo 35 RGPD): No se realizó una Evaluación de Impacto de Protección de Datos (EIPD) adecuada antes de implementar el sistema de registro biométrico, una evaluación esencial para tratamientos que entrañan un alto riesgo para los derechos y libertades de las personas.

ESTA PROHIBIDO EL USO DE DATOS BIOMÉTRTICOS PARA EL CONTROL DE ACCESO Y REGISTRO DE JORNADA CONFORME A ESTA RESOLUCIÓN

¿Por qué estos incumplimientos no significan que está prohibido el control de accesos y el registro de jornada mediante datos biométricos pese a lo que deducido algunos de la “GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS” de la AEPD de noviembre de 2023?.
La legislación de protección de datos, incluido el RGPD, no prohíbe expresamente el uso de datos biométricos para el control de accesos o el registro de la jornada laboral. Lo que sí establece es un marco de condiciones estrictas bajo las cuales este tipo de tratamiento de datos puede llevarse a cabo de manera legal, segura y respetando los derechos de los interesados. Los principios de protección de datos establecen la necesidad de:

  • Transparencia e información adecuada a los sujetos de los datos sobre cómo y por qué se tratan sus datos.
  • Implementación de medidas de seguridad robustas que protejan los datos contra el acceso no autorizado o la pérdida.
  • Realización de evaluaciones de impacto para identificar y mitigar riesgos antes de comenzar cualquier tratamiento que pueda implicar un alto riesgo para los derechos y libertades de las personas.

La resolución contra la empresa sancionada destaca la importancia de seguir estos principios y obligaciones legales al implementar tecnologías de tratamiento de datos biométricos. Sin embargo, con un enfoque cuidadoso que cumpla con los requisitos legales, es posible utilizar datos biométricos para controlar accesos y registrar jornadas laborales de manera que se respeten tanto la eficacia operativa como los derechos de los trabajadores.

En resumen, el uso de datos biométricos para el control de accesos y el registro de jornada laboral no está prohibido, pero debe abordarse con un compromiso riguroso con la ley de protección de datos, evaluando detenidamente la necesidad, la proporcionalidad, los riesgos y las salvaguardias necesarias para proteger los derechos de los individuos.

BASTA CON QUITAR LOS DATOS BIOMÉTRICOS

La mera eliminación del uso de datos biométricos no garantiza por sí sola evitar sanciones futuras en contextos similares. Si bien, en algunos casos, podría ser un paso en dirección a la conformidad con la normativa de protección de datos. Esto se debe a que el enfoque de la Agencia Española de Protección de Datos (AEPD) y de otros reguladores sobre la protección de datos se basa en una serie de principios fundamentales que van más allá del tipo específico de datos tratados.
Aspectos Clave para la Conformidad con el RGPD
Para asegurar la conformidad y evitar sanciones, las organizaciones deben considerar
varios aspectos clave, que incluyen:

  • Legalidad, transparencia y justicia en el tratamiento: Independientemente de si se utilizan datos biométricos o no, cualquier tratamiento de datos personales debe tener una base legal sólida, ser transparente para los sujetos de los datos y llevarse a cabo de manera justa.
  • Minimización de datos: Solo deben recogerse y tratarse los datos personales estrictamente necesarios para cumplir con los propósitos declarados para los cuales se han recopilado.
  • Seguridad de los datos: Se deben implementar medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la pérdida o la destrucción.
  • Responsabilidad proactiva y evaluación de impacto de protección de datos (EIPD): Las entidades deben no solo cumplir con el RGPD sino también ser capaces de demostrarlo. Esto incluye realizar EIPDs especialmente para tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas naturales.
  • Derechos de los interesados: Se deben respetar y facilitar los derechos de los sujetos de datos, incluido el derecho a ser informado, el derecho de acceso, el derecho de rectificación, el derecho al olvido, entre otros.

La decisión de dejar de usar datos biométricos y optar por métodos alternativos para el control de acceso y el registro de jornada laboral debe basarse en una evaluación cuidadosa de las necesidades operativas y de seguridad, así como en un compromiso con la protección de datos personales. Las alternativas deben ser evaluadas no solo por su eficacia operativa sino también por su impacto en la privacidad y la protección de datos de los empleados y usuarios, además de la consecución de los objetivos perseguidos por el registro de jornada entre los que cabe destacar la protección de la salud del trabajador y de su seguridad, por lo que esencial evitar instrumentos que no impiden prácticas como la suplantación de personalidad con las necesarias garantías.

CONCLUSIÓN

La resolución no establece la prohibición del uso de datos biométricos para el control de accesos y el registro de jornada en el ámbito laboral. Es más solo cabe deducir que el uso de dichos datos está permitido siempre y cuando se cumplan con los requisitos establecidos por el RGPD, siendo uno de los principales instrumentos la realización de un ESTUDIO DE EVALUACIÓN DE IMPACTO serio y riguroso que realice un análisis que abarque todos los principios y obligaciones del RGPD y de la normativa de protección de datos aplicable. Esto implica una gestión cuidadosa de todos los tipos de datos personales, la implementación de medidas de seguridad adecuadas, y una transparencia y comunicación efectiva con los sujetos de los datos

CONSEJO ESPAÑOL PARA EL REGISTRO DE JORNADA
Madrid, 5 de abril de 2024

Comparte este artículo

Autor

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

4 + 7 =

Noticias relacionadas

categorías

últimos post

nosotros

Somos una asociación sin ánimo de lucro compuesta por las principales empresas del sector para facilitar herramientas ágiles, rigurosas y eficaces.
Ir al contenido