Con la aplicación del Reglamento General de Protección de Datos, los datos biométricos se consideran sensibles. Sin embargo, las soluciones de acceso biométrico están empezando a emplearse cada vez más como solución para el registro de jornada dentro de las empresas. Con el objetivo de despejar dudas sobre esta práctica, la autoridad de protección de datos francesa, CNIL, ha creado un reglamento modelo (“Biométrie sur les lieux de travail”) en el que regula los casos y condiciones en las que se pueden emplear los datos biométricos dentro de la empresa.
¿Por qué se usan los datos biométricos en la empresa?
La biometría se usa a menudo para acceder a ciertos sitios y aplicaciones dentro del ámbito laboral. Es una alternativa a la contraseña tradicional que permite agilizar y/o automatizar el proceso de verificación y autenticación de la identidad de un individuo mediante el uso de características inherentes a su persona (por ejemplo, su rostro, su modo de andar, su huella dactilar …). Los datos generados se consideran sensibles según el RGPD.
¿Cuándo se pueden emplear los datos biométricos en el entorno laboral?
En su reglamento modelo, la CNIL incorpora varias disposiciones que configuran un marco legal para el uso de la biométrica con el fin de controlar el acceso a las instalaciones, equipos o aplicaciones de trabajo.
En primer lugar, el empleador debe demostrar, de manera documentada, la necesidad de procesamiento de datos biométricos, indicando las razones por las cuales el uso de otros dispositivos de identificación o medidas organizativas y técnicas no permiten alcanzar la misma finalidad.
En segundo lugar, en el contexto de este reglamento modelo, el uso de datos biométricos solo está permitido en dos casos:
- para controlar el acceso a los locales delimitados por el empleador y restringidos para personas ajenas a la empresa;
- para controlar el acceso a dispositivos profesionales de TI y aplicaciones limitadas por el empleador.
Los datos biométricos que se pueden utilizar para la autenticación de los empleados son aquellos basados en características morfológicas (iris, huellas dactilares, red venosa de la mano). Se prohíbe el uso de muestras biológicas (saliva, sangre, etc.). En todos los casos, el empleador debe justificar y documentar su elección para utilizar un tipo particular de biometría.
Información al empleado
El empleador debe respetar la obligación de información de los empleados tal y como recoge el RGPD. Esta información debe incluirse en un aviso por escrito y entregarse antes de cualquier recopilación de datos biométricos.
En principio, el consentimiento de los empleados no es necesario, tal y como declaró esta misma semana la AEPD, ya que el procesamiento de datos biométricos puede tener su base legal en el interés legítimo del empleador (por ejemplo, para garantizar la seguridad de las instalaciones de la empresa).
Obligación de realizar una Evaluación de Impacto Protección de Datos (EIPD)
Antes de cualquier implementación de un dispositivo de identificación biométrica en el lugar de trabajo, el empleador debe implementar una EIPD, teniendo en cuenta el alto riesgo de los derechos y libertades de los empleados.
Por lo tanto, el empleador debe cumplir con el reglamento modelo, documentar y poner a disposición de la autoridad de protección de datos las justificaciones necesarias y realizar una evaluación de riesgos sobre los derechos y libertades de los individuos con el fin de identificarlos y, cuando corresponda, para tratarlos.
La EIPD debe actualizarse regularmente, al menos cada 3 años.
