El ayuntamiento ha instalado un control de presencia de reconocimiento facial.
¿Cómo deberíamos proceder? Entendemos que no es necesaria la creación de un fichero, pues las personas que harán uso del control de presencia serán los propios trabajadores y funcionarios del ente local cuyos datos ya obran en la organización. Pero se nos plantea la duda al recopilarse datos que hasta ahora el ayuntamiento no poseía de manera objetiva, como son los datos biométricos.
El art. 4.14 del Reglamento General de Protección de Datos -RGPD- recoge la siguiente definición de datos biométricos:
Por su parte, el art. 9.1 RGPD considera categorías especiales de datos personales aquellas que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física y los datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
Con carácter general, el tratamiento de categorías especiales de datos personales está prohibido. Sin embargo, el art. 9.2 RGPD admite su tratamiento cuando, entre otros supuestos, es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
Es importante puntualizar que el RGPD no considera a todo tratamiento de datos biométricos como tratamiento de categorías especiales de datos, ya que su art. 9.1 se refiere a los datos biométricos dirigidos a identificar de manera unívoca a una persona física, por lo que se deriva que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.
En este sentido, cabe distinguir los supuestos de identificación biométrica de los supuestos de verificación o autenticación biométrica. La identificación es el proceso de reconocer a un individuo particular entre un grupo, comparándose los datos del individuo a identificar con los datos de cada individuo en el grupo. La verificación o autenticación es el proceso de probar que es cierta la identidad reclamada por un individuo, comparándose los datos del individuo únicamente con los datos asociados a la identidad reclamada.
Atendiendo a la citada distinción, y de acuerdo con el art. 4 RGPD, el concepto de dato biométrico incluye ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno a varios) y no en el caso de verificación/autenticación biométrica (uno a uno). En caso de que se traten datos biométricos, la Agencia Española de Protección de Datos -AEPD- recomienda optar por sistemas de verificación o autenticación biométrica, siendo aconsejable que los sistemas biométricos se basen en la lectura de los datos biométricos almacenados como plantillas cifradas en soportes que puedan ser conservados exclusivamente por las personas trabajadoras (por ejemplo, tarjetas inteligentes o dispositivos similares). Por ejemplo, en el caso del tratamiento de datos biométricos para el fichaje en el momento de acceso al edificio, se utilizarán por la persona trabajadora terminales en los que será necesario tanto la aproximación de la tarjeta como la lectura del rostro. Es decir, el lector generará el identificador numérico del rostro que habrá de corresponderse con el de la tarjeta, entendiéndose que se ha producido el acceso al puesto de trabajo como consecuencia de la coincidencia entre el identificador generado y el que consta en el rostro.
En cualquier caso, como ya se ha señalado, el art. 9.2.b) RGPD exceptúa de la prohibición general del tratamiento de datos biométricos de categorías especiales cuando:
En este sentido, el art. 20.3 del RD 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores -ET- establece que:
En la normativa funcionarial no existe un precepto tan claro como el anterior. El RDLeg 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público -TREBEP-, hace referencia al mismo dentro de los principios de conducta (art. 54.2 TREBEP). También lo hace de forma genérica el apartado 12 de la Resolución de 28 de febrero de 2019, de la Secretaría de Estado de Función Pública, por la que se dictan instrucciones sobre jornada y horarios de trabajo del personal al servicio de la Administración General del Estado y sus organismos públicos, al establecer que:
Debiendo entenderse donde dice las subsecretarías, el alcalde o concejalía delegada, previo informe del área de personal.
En cualquier caso, ya estemos ante un sistema de verificación/autenticación o ante uno de identificación, estos tratamientos deben realizarse conforme a las garantías del RGPD y, en particular, siguiendo las siguientes reglas:
En cualquier caso, la implantación de medidas de control exige realizar un test de proporcionalidad en el que debe valorarse si la medida de control:
Superado el test, se podrá adoptar la medida de control.
Se debe tener en cuenta que el uso de datos biométricos y, en particular, del reconocimiento facial, conllevan elevados riesgos para los derechos de los interesados. Es fundamental que el recurso a dichas tecnologías tenga lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD. Aunque la utilización de estas tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos de lograr su fin legítimo del tratamiento.
De conformidad con el principio de minimización de datos referenciado, los responsables del tratamiento deben garantizar que los datos extraídos de una imagen digital para crear una plantilla no serán excesivos y solo contendrán la información necesaria para el fin específico, evitando así cualquier otro posible tratamiento. Se deben aplicar medidas para garantizar que las plantillas no se puedan transferir a través de los sistemas biométricos. Es probable que la identificación y la autenticación/comprobación requieran el almacenamiento de la plantilla para su uso en una comparación posterior. El responsable del tratamiento debe tener en cuenta la ubicación más adecuada para el almacenamiento de los datos. En un entorno controlado entradas o puntos de control delimitados, las plantillas se conservarán en un dispositivo individual guardado por el usuario y bajo el control exclusivo de este (tarjeta identificativa) o bien, cuando sea necesario con fines específicos y en presencia de necesidades objetivas, se conservarán en una base de datos centralizada de forma cifrada con una clave/número secreto en posesión exclusivamente de la persona para evitar el acceso no autorizado a la plantilla o al lugar de almacenamiento. Si el responsable del tratamiento no puede evitar tener acceso a las plantillas, deberá adoptar las medidas adecuadas para garantizar la seguridad de los datos almacenados. Esto puede incluir el cifrado de la plantilla mediante algoritmos criptográficos.
En cualquier caso, el responsable deberá tomar todas las precauciones necesarias para preservar la disponibilidad, integridad y confidencialidad de los datos tratados. Para ello, el responsable del tratamiento deberá en especial adoptar las siguientes medidas:
Estas medidas deberán evolucionar con el progreso de las tecnologías.
Cuando el tratamiento no pueda fundamentarse en el art. 9.2.b) RGPD, la única alternativa sería fundamentarlo en el consentimiento. En este supuesto, el responsable del tratamiento no puede supeditar el acceso a la aceptación del tratamiento biométrico. En otras palabras, y especialmente cuando el tratamiento biométrico se utiliza con fines de autenticación, el responsable del tratamiento debe ofrecer una solución alternativa que no implique el tratamiento biométrico, sin restricciones ni coste adicional para el interesado.
Por último, se deberá actualizar el Registro de Actividades del Tratamiento que tenga el ayuntamiento para incluir los datos biométricos que se van a recoger de los empleados para la finalidad descrita y firmar, con el proveedor encargado del mantenimiento del sistema de reconocimiento facial, cuando pueda tratar datos personales para la prestación de sus servicios, un contrato de encargado del tratamiento de conformidad con el art. 28 RGPD.
En cualquier caso, recomendamos que soliciten a su Delegado de Protección de Datos para que emita informe, realice el registro de la actividad, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales dentro de sus funciones de asesoramiento y si lo considera conveniente, solicite informe a la AEPD.
1ª. El sistema de reconocimiento facial implica el tratamiento de datos biométricos que, con carácter general, se consideran categorías especiales de datos.
2ª. Antes de la implantación de este tipo de sistemas se deberá evaluar su procedencia, cumpliendo todas las medidas referidas a lo largo de esta consulta.
3ª. Se deberá requerir al Delegado de Protección de Datos para que emita informe, realice el registro de la actividad, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales dentro de sus funciones de asesoramiento y si lo considera conveniente, solicite informe a la AEPD.