Desde que se implantó el Control Horario en Mayo de 2019, los sistemas biométricos, que buscan identificar inequívocamente a una persona, han sido objeto de intensos debates sobre su adaptación al reglamento de la GDPR – Reglamento (UE) 2016/679.
¿Qué se entiende exactamente la GDPR por datos biométricos?
Tal y como lo define el Reglamento General de Protección de Datos (RGPD) los datos biométricos son los datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única.
Los datos recogidos biométricamente son:
- Huella dactilar
- Reconocimiento facial
- Reconocimiento del iris
- Reconocimiento de la geometría de la mano
- Reconocimiento de retina
- Reconocimiento vascular
- Reconocimiento de firma
- Reconocimiento de escritura
- Reconocimiento de voz
- Reconocimiento de escritura de teclado
- Reconocimiento de la forma de andar
- Otros tipos de reconocimientos biométricos
- ADN
- Piel
- Orejas
- …
¿Cómo deben tratarse estos datos biométricos?
El punto 1 del artículo 9 del Reglamento 2016/679 especifica que: “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.
Y, por lo tanto, son considerados y tratados como datos de carácter sensible. Esto no quiere decir que no puedan ser recogidos o tratados, si no que para hacerlo se deben cumplir una serie de requisitos.
¿Cuáles son estos requisitos para cumplir con GDPR?
Debido a que el artículo 9 los eleva a «especialmente protegidos» los datos recogidos biométricamente, deben cumplir, rigurosamente, una serie de requisitos para poder tratarlo:
- Especificar claramente en un documento la finalidad de la recogida de datos
- Obtener el consentimiento explícito de los trabajadores en el documento del punto anterior
Además, exige medidas de seguridad específicas como cifrar los datos tanto cuando son alojados en la base de datos como cuando viajen por cualquier medio y debe controlarse el acceso a estos datos registrando quién accede a ellos, cuando y qué datos fueron consultados.
Principio de Idoneidad y Proporcionalidad
El artículo 9 eleva a «especialmente protegidos» los datos recogidos biométricamente, y por ello, también se debe informar al usuario de la finalidad de la recogida de esta información, y obtener su consentimiento para recogerla y almacenarla mediante la firma del documento.
Las finalidades están catalogadas en cuatro puntos definidos:
- Identificación
- Control de la Información
- Control de acceso
- … y por su puesto, Control Horario
En este documento, además, no se pueden pedir datos biométricos que no sean necesarios para la finalidad por la que son recogidos, ni pueden ser abusivos.
¿Qué datos biométricos recogemos en TramitApp?
En TramitApp tratamos datos biométricos principalmente a través de nuestro sistema de fichaje con reconocimiento facial. Pero también tenemos implantada la posibilidad de acceder a la app con huella dactilar, en este caso nos basamos en la información almacenada en el dispositivo.
Estos datos biométricos son estrictamente recogidos y tratados conforme a la GDPR, modelando un protocolo específico para su tratamiento y cumpliendo estrictamente todos y cada uno de los apartados.