Introducción
La Agencia Española de Protección de Datos (AEPD) ha publicado, con fecha 18 de mayo de 2021, la guía de “La protección de datos en las relaciones laborales”. Esta guía pretende ser una herramienta práctica de ayuda a las organizaciones públicas y privadas para el adecuado cumplimiento de la legislación en esta materia.
De entre todas las consideraciones que contiene esta guía, resultan de gran interés las referidas al uso de datos biométricos para la gestión de la relación laboral, para el que establece una serie de directrices cuyos principios pueden también aplicarse al tratamiento de datos biométricos en otros ámbitos.
La guía consolida la distinción entre verificación e identificación biométricas, reservando sólo a la segunda la categoría protegida de tratamiento de categoría especial de datos; indica en qué supuestos y bajo qué requisitos está permitido el tratamiento de datos biométricos en el ámbito de las relaciones laborales y; por último, recomienda las garantías que tienen que aplicarse a esos tratamientos para que sean acordes con la normativa de protección de datos.
La publicación de esta guía, que actualiza la nota de la AEPD sobre “14 equívocos con relación a la identificación y autenticación biométrica” publicada en junio de 2020, es un paso muy positivo, que proporciona seguridad a los usuarios y a las empresas en el uso de la biometría en el marco de las relaciones laborales, al tiempo que profundiza en la protección de la privacidad.
Veridas siempre ha prestado atención preferente al diseño de sus sistemas para proporcionar la máxima protección de la privacidad y facilitar a sus clientes el cumplimiento de la normativa europea de protección de datos, por lo que se encuentra preparada para cumplir con las recomendaciones de la guía.
¿Los datos biométricos implican siempre un tratamiento de categorías especiales de datos?
No. La guía confirma que no todo tratamiento de datos biométricos implica un tratamiento de categorías especiales de datos. Para ello se basa en el Reglamento General de Protección de Datos y las directrices del Libro Blanco de Inteligencia Artificial.
¿Cuál es la diferencia entre verificación e identificación biométrica?
La Guía también deja clara la distinción entre las dos formas de reconocimiento biométrico: verificación e identificación.
Basándose en sus características, la guía de la AEPD determina que “con carácter general, los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.
- Verificación o autenticación biométrica: Se comprueba si una persona es quien dice ser, comparándose sus datos únicamente con otros datos asociados a la identidad en cuestión (uno-a-uno, 1:1).
- Identificación biométrica: Se comprueba si un individuo particular es uno de los miembros de un grupo predeterminado, comparándose sus datos con los datos de todos los integrantes de ese grupo (uno-a-varios, 1:N).
En su análisis, la AEPD recomienda el uso de la verificación biométrica, pero no prohíbe la identificación biométrica, al contrario, la contempla de modo expreso para el control de acceso y registro de jornada de los empleados, siempre que se cumplan con el resto de requisitos establecidos en el RGPD.
El uso de datos biométricos resulta legítimo dentro de los supuestos previstos por el RGPD. Entre ellos, el consentimiento por parte del usuario constituye una base legitimadora para cualquier tratamiento de datos.
La AEPD incide ahora en que, en el marco de una relación laboral, la implantación de un sistema de control de accesos de empleados y registro de jornada laboral que utilice datos biométricos, puede estar amparada en el cumplimiento de las obligaciones y el ejercicio de los derechos que la legislación laboral, de seguridad y protección social contempla para el empleador. Por tanto, puede llevarse a cabo sin la necesidad de un consentimiento previo de los trabajadores.
¿Es válido cualquier sistema de reconocimiento facial?
La AEPD recuerda que los sistemas biométricos, sean de verificación o de identificación, deben cumplir siempre con los requisitos establecidos en el RGPD, entre los que se encuentran:
- Información clara y transparente a los usuarios del sistema. El trabajador debe ser informado sobre el tratamiento.
- Protección de datos “desde el diseño” del sistema. Los sistemas de Veridas están diseñados para proteger los datos de los usuarios en todo momento.
- Almacenamiento preferente de vectores biométricos en lugar de los datos en bruto (p.ej. imagen facial, audio, etc.). La tecnología de Veridas genera vectores biométricos irreversibles (no se puede volver a la imagen original).
- Vectores biométricos no interoperables con otros sistemas. Esta es una característica intrínseca al empleo de sistemas biométricos actuales, que están basados en Inteligencia Artificial, como los que emplea Veridas.
- Garantizar que los datos no se emplean para otra finalidad.
- Adecuada protección de los datos biométricos mediante tecnología de cifrado.
- Posibilidad de revocar el vínculo de identidad. En este sentido, debe hacerse referencia a la irreversibilidad de los vectores en los sistemas biométricos basados en Inteligencia Artificial, como los que emplea Veridas.
- Limitación de la finalidad del tratamiento.
- Realización de una evaluación de impacto.
Veridas, referente biométrico en el sector
Los motores biométricos desarrollados por Veridas están basados en Inteligencia Artificial y diseñados para la protección de datos por defecto y desde el diseño. Veridas promueve además la realización de evaluaciones de impacto de sus soluciones, para ayudar a sus clientes en el proceso de análisis e implementación de sus servicios. Asimismo, Veridas tiene implantado un sistema de gestión de seguridad de la información, avalado por certificaciones como la norma ISO/IEC 27001 y el Esquema Nacional de Seguridad.