Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto varias multas a diversas empresas/entidades por utilizar el registro biométrico, concretamente la huella dactilar, para el control horario de sus personas trabajadoras o para el acceso de sus clientes/usuarios. Recordemos que la Agencia publicó el pasado año la “Guía sobre la utilización de datos biométricos para el control de presencia y acceso”, en la que se establecen una serie de restricciones en los casos en los que el tratamiento de datos personales biométricos de los interesados esté destinado al registro de la jornada laboral, al control de acceso para finalidades laborales o al control de acceso para finalidades no laborales.En este sentido, la nueva guía de la AEPD fija los criterios de uso de datos biométricos y señala que:

  • La utilización de datos biométricos supone un tratamiento de categorías especiales de datos de alto riesgo. El Reglamento General de Protección de Datos impone límites estrictos para el tratamiento de categorías especiales de datos, y la superación del análisis de idoneidad, necesidad y proporcionalidad.
  • Las empresas deben recurrir a sistemas alternativos menos intrusivos, como tarjetas, códigos o aplicaciones móviles, para el control horario.

Multas a empresas

Aquellas empresas que no cumplan con esta regulación se arriesgan a enfrentarse a severas sanciones por parte de la AEPD. Fue el caso de una empresa de logística, multada con 365.000 euros por solicitar la huella a sus empleados y empleadas para fichar. Todo ello, sin informarles adecuadamente y sin haber implementado las medidas de seguridad necesarias.

Otro caso fue el de un Club de Fútbol regional, que ha sido sancionado con 200.000 euros por pedir a sus aficionados este dato biométrico para el control de acceso sin cumplir con la normativa. No obstante, al haberse acogido a las dos reducciones propuestas por la AEPD, que eran la de reconocer los hechos y el pago de forma voluntaria, la multa ha quedado en 120.000 euros.

Una cadena de gimnasios también ha sido multada por el mismo motivo, con una sanción de 27.000 euros, tras recibir una denuncia de uno de sus clientes por utilizar el registro de huella dactilar de los usuarios para poder acceder al centro deportivo.

Validez de los datos biométricos

Si bien la nueva regulación establece que el uso de datos biométricos para el registro de la jornada laboral y el control de acceso con finalidades laborales y no laborales no cumplen con las exigencias de la normativa, la propia guía de la AEPD indica que existen tratamientos en los que el uso de datos biométricos sí cumplirían la condición de necesidad, ya que el uso de los datos biométricos forma parte de su finalidad, como por ejemplo los tratamientos de investigación.

Las empresas que elijan continuar con este método deberán invertir en sistemas de seguridad adicionales, como, por ejemplo:

  • Informar del tratamiento, aplicar medidas para que no se puedan utilizar los datos para otras finalidades
  • Implementar la posibilidad de revocar el vínculo de identidad, suprimir los datos cuando el tratamiento finalice
  • Aplicar medidas que impidan la divulgación de datos no comprobada
  • Utilizar métodos de cifrado para proteger los datos biométricos.

Además, previamente, debe realizarse una evaluación de impacto para la protección de datos.