E-coordina

La AEPD prohíbe el uso de sistemas biométricos para el control de accesos en el trabajo. Alternativas como el control de presencia de e-coordina cumplen con la norma. 

La Agencia Española de Protección de Datos (AEPD) publicaba el pasado 23 de noviembre una guía sobre el uso de datos biométricos para el control de presencia en el trabajo. En este documento, la AEPD establece que el uso de sistemas biométricos para el control de accesos en el trabajo está prohibido, salvo que se cumplan una serie de requisitos muy estrictos.

¿Por qué son tan personales los datos biométricos?

La AEPD considera que el uso de datos biométricos para el control de accesos en el trabajo supone una “intrusión e impacto en la privacidad de los individuos”. Y es que los datos biométricos, como sucede con los datos de los expedientes médicos, son los datos mas personales. Es esta la razón por la que se considera que deben ser especialmente protegidos, ya que son únicos e inmutables. Esto significa que, una vez que se recogen, pueden utilizarse para identificar a una persona de manera inequívoca. La cuestión es si esto podría suceder sin el consentimiento de la persona que “mira” un lector de iris o “toca” un sensor de huella digital.

Este tipo de dispositivos están destinados a captar ciertas medidas biológicas y de esta manera dar lugar a métodos de autenticación infalibles. De hecho el sistema biométrico por reconocimiento de iris es uno de los sistemas de reconocimientos más fiables junto al del reconocimiento de huellas digitales.

Control de presencia con sistemas biométricos

¿En qué casos se puede usar el reconocimiento biométrico?

Para que el uso de sistemas biométricos para el control de accesos en el trabajo sea lícito, la AEPD establece que es necesario que se cumplan los siguientes requisitos:

■ Que el tratamiento sea necesario para el cumplimiento de una obligación legal o el ejercicio de derechos específicos del responsable. En este caso, la AEPD considera que no existe ninguna obligación legal o derecho específico que legitime el uso de sistemas biométricos para el control de accesos en el trabajo.

■ Que el consentimiento del trabajador sea libre, específico, informado e inequívoco. La AEPD considera que el consentimiento del trabajador no puede ser una base para legitimar el uso de sistemas biométricos para el control de accesos en el trabajo, ya que existe un desequilibrio de poder entre el trabajador y el empleador.

La AEPD también establece una serie de medidas de seguridad que deben adoptarse para garantizar la protección de los datos biométricos recogidos en el marco de un tratamiento de control de accesos. Estas medidas incluyen:

■  Utilización de sistemas de cifrado de datos biométricos.
■ Limitación del acceso a los datos biométricos a las personas que necesiten acceder a ellos para el cumplimiento de sus funciones.
■ Adopción de medidas para garantizar la seguridad de los sistemas de almacenamiento de datos biométricos.

¿Qué supone la publicación de la Guía de la Agencia de protección de datos?

La publicación de esta guía supone un importante cambio en la regulación del uso de datos biométricos para el control de accesos en el trabajo. A partir de ahora, los empleadores que quieran utilizar sistemas biométricos para controlar el acceso de sus trabajadores a los centros de trabajo deberán cumplir unos requisitos muy estrictos.

Control de presencia con sistemas biométricos

¿Qué deberán hacer los empleadores que quieran implementar sistemas biométricos de reconocimiento y de control de presencia?

Informar a los sujetos de los datos sobre el tratamiento biométrico. Esto implica, como señala el considerando 39 del RGPD que “Las personas físicas deben tener conocimiento de los riesgos” con relación a los tratamientos, en este caso biométrico.

Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
■ Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
■ Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
■ Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
■ Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
■ Implementar la protección de datos desde el diseño. • Realizar previamente al inicio del tratamiento una Evaluación de Impacto para la Protección de Datos.

¿Qué escenarios se deben considerar en brechas de datos personales?

Los escenarios que se deben considerar incluyen la pérdida o filtración de patrones biométricos, el uso malicioso de patrones almacenados, la intrusión en el sistema de análisis biométrico y sus resultados, la intercepción de la comunicación entre sistemas, los ataques de denegación de servicio, la discontinuidad de servicios propios o de terceros, entre otros.

Además, es importante estar al tanto de las brechas que se están produciendo actualmente, ya que podrían indicar la falta de adecuación de una técnica biométrica específica, de la biometría en general o de las garantías implementadas. Esto implica la necesidad de realizar una evaluación continua del tratamiento en función de los eventos que se estén produciendo en el contexto social y tecnológico.

¿Qué pasa con contratas y subcontratas?

En los casos de subcontratación de trabajadores, si el contratante exige sistemas biométricos para el control de acceso, debe cumplir con las normativas establecidas en el documento referido

La empresa contratada, si también tiene el rol de encargado del tratamiento de datos, tiene la obligación de informar al responsable si una instrucción infringe el Reglamento General de Protección de Datos (RGPD) u otras disposiciones de protección de datos.

Si no se cumplen las disposiciones del RGPD, la empresa contratada no está obligada a implementar técnicas biométricas para el registro de jornada o control de acceso en el ámbito laboral.

Control de presencia por sistemas biométricos

¿Existen Alternativas al control de accesos biométrico?

La prohibición del uso de sistemas biométricos para el control de accesos en el trabajo plantea el reto de encontrar alternativas que permitan a los empleadores garantizar la seguridad de sus instalaciones y el cumplimiento de la legislación laboral.

Los controles de accesos como los biométricos sustituyen el uso de tarjetas o llaves físicas. Este es el sistema más tradicional de control de accesos. Es un sistema relativamente seguro, pero puede ser poco práctico, ya que los trabajadores deben llevar consigo la tarjeta o la llave y el acceso no queda registrado en el sistema.

Será una buena opción la adopción sistemas como los de control de accesos de e-coordina o también el  control de presencia  de e-coordina.

Estos se llevan a cabo por medio de app para soportes portátiles (smartphone, tablets…) que mostrarán un QR o facilitarán los datos legales e identificativos únicos y pactados con la empresa.