Lefebvre
dic
2021

Reconocimiento facial para el control de presencia de empleados públicos del ayuntamiento: tratamiento de los datos

Planteamiento

El ayuntamiento ha instalado un control de presencia de reconocimiento facial.

¿Cómo deberíamos proceder? Entendemos que no es necesaria la creación de un fichero, pues las personas que harán uso del control de presencia serán los propios trabajadores y funcionarios del ente local cuyos datos ya obran en la organización. Pero se nos plantea la duda al recopilarse datos que hasta ahora el ayuntamiento no poseía de manera objetiva, como son los datos biométricos.

Respuesta

El art. 4.14 del Reglamento General de Protección de Datos -RGPD- recoge la siguiente definición de datos biométricos:

  • “Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.”

Por su parte, el art. 9.1 RGPD considera categorías especiales de datos personales aquellas que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, los datos genéticos, los datos biométricos dirigidos a identificar de manera unívoca a una persona física y los datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Con carácter general, el tratamiento de categorías especiales de datos personales está prohibido. Sin embargo, el art. 9.2 RGPD admite su tratamiento cuando, entre otros supuestos, es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

Es importante puntualizar que el RGPD no considera a todo tratamiento de datos biométricos como tratamiento de categorías especiales de datos, ya que su art. 9.1 se refiere a los datos biométricos dirigidos a identificar de manera unívoca a una persona física, por lo que se deriva que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.

En este sentido, cabe distinguir los supuestos de identificación biométrica de los supuestos de verificación o autenticación biométrica. La identificación es el proceso de reconocer a un individuo particular entre un grupo, comparándose los datos del individuo a identificar con los datos de cada individuo en el grupo. La verificación o autenticación es el proceso de probar que es cierta la identidad reclamada por un individuo, comparándose los datos del individuo únicamente con los datos asociados a la identidad reclamada.

Atendiendo a la citada distinción, y de acuerdo con el art. 4 RGPD, el concepto de dato biométrico incluye ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno a varios) y no en el caso de verificación/autenticación biométrica (uno a uno). En caso de que se traten datos biométricos, la Agencia Española de Protección de Datos -AEPD- recomienda optar por sistemas de verificación o autenticación biométrica, siendo aconsejable que los sistemas biométricos se basen en la lectura de los datos biométricos almacenados como plantillas cifradas en soportes que puedan ser conservados exclusivamente por las personas trabajadoras (por ejemplo, tarjetas inteligentes o dispositivos similares). Por ejemplo, en el caso del tratamiento de datos biométricos para el fichaje en el momento de acceso al edificio, se utilizarán por la persona trabajadora terminales en los que será necesario tanto la aproximación de la tarjeta como la lectura del rostro. Es decir, el lector generará el identificador numérico del rostro que habrá de corresponderse con el de la tarjeta, entendiéndose que se ha producido el acceso al puesto de trabajo como consecuencia de la coincidencia entre el identificador generado y el que consta en el rostro.

En cualquier caso, como ya se ha señalado, el art. 9.2.b) RGPD exceptúa de la prohibición general del tratamiento de datos biométricos de categorías especiales cuando:

  • “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.

En este sentido, el art. 20.3 del RD 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores -ET- establece que:

  • “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.”

En la normativa funcionarial no existe un precepto tan claro como el anterior. El RDLeg 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público -TREBEP-, hace referencia al mismo dentro de los principios de conducta (art. 54.2 TREBEP). También lo hace de forma genérica el apartado 12 de la Resolución de 28 de febrero de 2019, de la Secretaría de Estado de Función Pública, por la que se dictan instrucciones sobre jornada y horarios de trabajo del personal al servicio de la Administración General del Estado y sus organismos públicos, al establecer que:

  • “Las personas titulares de las Subsecretarías de los Departamentos ministeriales, a través de las Inspecciones de Servicios departamentales, así como los demás órganos competentes de las entidades señaladas en el apartado 1 de esta Resolución, promoverán programas de cumplimiento de la jornada de trabajo debida y de control del absentismo, adoptando las medidas necesarias para la corrección de incumplimientos e infracciones”.

Debiendo entenderse donde dice las subsecretarías, el alcalde o concejalía delegada, previo informe del área de personal.

En cualquier caso, ya estemos ante un sistema de verificación/autenticación o ante uno de identificación, estos tratamientos deben realizarse conforme a las garantías del RGPD y, en particular, siguiendo las siguientes reglas:

  • 1. El trabajador debe ser informado sobre estos tratamientos en los términos previstos en el art. 13 RGPD.
  • 2. Los fabricantes del sistema deben implementar la protección de datos desde el diseño. Por ejemplo, mediante la supresión automática de los datos brutos una vez calculada la plantilla, o utilización del cifrado para el almacenamiento de los datos biométricos.
  • 3. Los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible. La plantilla deberá extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares, a fin de garantizar que una persona sólo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.
  • 4. El almacenamiento se realizará preferentemente en un dispositivo personal, antes que acudirse a un almacenamiento centralizado. Deberá utilizarse una clave de encriptado específica para los dispositivos de lectura a fin de proteger efectivamente estos datos contra todo acceso no autorizado.
  • 5. El sistema biométrico utilizado y las medidas de seguridad elegidas deberán asegurarse de que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.
  • 6. Deberán utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.
  • 7. Los sistemas biométricos deberán diseñarse de modo que se pueda revocar el vínculo de identidad.
  • 8. Deberá optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • 9. Los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.
  • Por ejemplo, en el caso de implementación de un sistema biométrico para controlar el acceso a una zona restringida, los datos biométricos de los trabajadores que ya no están autorizados a acceder a esa zona deben suprimirse.
  • 10. Si se opta por un sistema de identificación biométrica, será necesario llevar a cabo una evaluación de impacto.

En cualquier caso, la implantación de medidas de control exige realizar un test de proporcionalidad en el que debe valorarse si la medida de control:

  • a) Es susceptible de conseguir el objetivo propuesto (juicio de idoneidad).
  • b) Es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad).
  • c) Es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

Superado el test, se podrá adoptar la medida de control.

Se debe tener en cuenta que el uso de datos biométricos y, en particular, del reconocimiento facial, conllevan elevados riesgos para los derechos de los interesados. Es fundamental que el recurso a dichas tecnologías tenga lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD. Aunque la utilización de estas tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos de lograr su fin legítimo del tratamiento.

De conformidad con el principio de minimización de datos referenciado, los responsables del tratamiento deben garantizar que los datos extraídos de una imagen digital para crear una plantilla no serán excesivos y solo contendrán la información necesaria para el fin específico, evitando así cualquier otro posible tratamiento. Se deben aplicar medidas para garantizar que las plantillas no se puedan transferir a través de los sistemas biométricos. Es probable que la identificación y la autenticación/comprobación requieran el almacenamiento de la plantilla para su uso en una comparación posterior. El responsable del tratamiento debe tener en cuenta la ubicación más adecuada para el almacenamiento de los datos. En un entorno controlado entradas o puntos de control delimitados, las plantillas se conservarán en un dispositivo individual guardado por el usuario y bajo el control exclusivo de este (tarjeta identificativa) o bien, cuando sea necesario con fines específicos y en presencia de necesidades objetivas, se conservarán en una base de datos centralizada de forma cifrada con una clave/número secreto en posesión exclusivamente de la persona para evitar el acceso no autorizado a la plantilla o al lugar de almacenamiento. Si el responsable del tratamiento no puede evitar tener acceso a las plantillas, deberá adoptar las medidas adecuadas para garantizar la seguridad de los datos almacenados. Esto puede incluir el cifrado de la plantilla mediante algoritmos criptográficos.

En cualquier caso, el responsable deberá tomar todas las precauciones necesarias para preservar la disponibilidad, integridad y confidencialidad de los datos tratados. Para ello, el responsable del tratamiento deberá en especial adoptar las siguientes medidas:

  • - Separar los datos durante la transmisión y el almacenamiento.
  • - Conservar las plantillas biométricas y los datos sin procesar o los datos identificativos en bases de datos distintas.
  • - Cifrar los datos biométricos, concretamente las plantillas biométricas y definir una política para el cifrado y la gestión de claves.
  • - Integrar una medida organizativa y técnica para la detección de fraudes.
  • - Asociar un código de integridad a los datos (por ejemplo, mediante firma o huella digital).
  • - Prohibir cualquier acceso externo a los datos biométricos.

Estas medidas deberán evolucionar con el progreso de las tecnologías.

Cuando el tratamiento no pueda fundamentarse en el art. 9.2.b) RGPD, la única alternativa sería fundamentarlo en el consentimiento. En este supuesto, el responsable del tratamiento no puede supeditar el acceso a la aceptación del tratamiento biométrico. En otras palabras, y especialmente cuando el tratamiento biométrico se utiliza con fines de autenticación, el responsable del tratamiento debe ofrecer una solución alternativa que no implique el tratamiento biométrico, sin restricciones ni coste adicional para el interesado.

Por último, se deberá actualizar el Registro de Actividades del Tratamiento que tenga el ayuntamiento para incluir los datos biométricos que se van a recoger de los empleados para la finalidad descrita y firmar, con el proveedor encargado del mantenimiento del sistema de reconocimiento facial, cuando pueda tratar datos personales para la prestación de sus servicios, un contrato de encargado del tratamiento de conformidad con el art. 28 RGPD.

En cualquier caso, recomendamos que soliciten a su Delegado de Protección de Datos para que emita informe, realice el registro de la actividad, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales dentro de sus funciones de asesoramiento y si lo considera conveniente, solicite informe a la AEPD.

Conclusiones

1ª. El sistema de reconocimiento facial implica el tratamiento de datos biométricos que, con carácter general, se consideran categorías especiales de datos.

2ª. Antes de la implantación de este tipo de sistemas se deberá evaluar su procedencia, cumpliendo todas las medidas referidas a lo largo de esta consulta.

3ª. Se deberá requerir al Delegado de Protección de Datos para que emita informe, realice el registro de la actividad, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales dentro de sus funciones de asesoramiento y si lo considera conveniente, solicite informe a la AEPD.