Josep Puy i Campàs
Aquest és un tema complex, perquè una vegada més, la tecnologia ha superat les previsions i la legislació vigent no s’adequa a la realitat tecnològica d’avui dia. Ens trobem, per tant, en una situació similar a la que per exemple, està generant l’ús habitual de la intel·ligència artificial per part dels usuaris en general.
Els sistemes biomètrics són còmodes: no ens hem de recordar de cap contrasenya, no ens cal portar un token a sobre, ni targetes, ni claus. Els fem servir de manera habitual als nostres mòbils i en l’àmbit privat, ens asseguren la protecció i autenticació d’infinitud d’operacions.
Ara bé, al moment de redactar el Reglament General de Protecció de Dades, no es va preveure aquest avenç tecnològic i, per tant, avui en dia a nivell europeu i espanyol no hi ha una legislació específica sobre la matèria.
A manca d’aquesta legislació, no queda més remei que, a nivell empresarial, tractar les dades biomètriques com dades especialment protegides, ja que així ho ha considerat la jurisprudència tant estatal com europea.
Això vol dir que el seu ús queda prohibit? Tècnicament no, però sí que l’ús queda restringit a què es compleixin una sèrie de condicions bastant dures i, que en qualsevol cas, a nivell de protecció de dades, l’empresa haurà de fer una Avaluació d’Impacte sobre el seu ús i, per tant, caldrà abandonar tota la normativa simplificada sobre protecció de dades (que aplica la majoria d’empreses doncs habitualment només es tracten dades de caràcter bàsic) i aplicar les normes més estrictes per tractaments de dades especialment protegides.
A la pràctica, mentre no hi hagi una llei específica sobre el tema, aquestes restriccions poden suposar tantes traves i inconvenients per a moltes empreses d’estructura senzilla i que no tracten gaires categories de dades més enllà de les habituals (dades identificatives, bancàries, comercials, etc.) que desaconsellem de moment la seva implantació.
Si ja tenim el sistema implantat, podem o bé cercar-ne un altre que no faci servir sistemes biomètrics (la qual cosa té un cost econòmic), o bé complir amb totes les restriccions i requisits necessaris (que ens pot provocar indirectament despeses iguals o superiors).
I quins són aquests requisits? A continuació ho veurem.
1. Primer, hem de veure on encabim el tractament en les 3 condicions de licitud (és a dir, amb què almenys es compleixi una d’elles és suficient):
1.1. Consentiment de l’interessat (Article 92.2.a del RGPD.)
El consentiment, quan es tracta a nivell empresarial, no pot aixecar d’entrada la prohibició del tractament, ni ser una base per determinar-ne la licitud, en existir de forma general una situació desequilibri entre el treballador i l’empresa. Una manera d’assegurar que aquest consentiment és lliure és implantar mètodes de control alternatius i que el treballador pugui triar, sense cap mena de perjudici i/o coerció, quin sistema de control horari desitja fer servir i que es pugui verificar que és així. Naturalment, això implica a la pràctica de disposar de 2 sistemes de control de presència actius i simultanis.
1.2. Legislació específica (Article 92.2.b del RGPD.)
Avui en dia no n’hi ha, ni es preveu a curt termini, tot i que sembla que probablement a mig termini a nivell europeu sí que n’hi haurà.
1.3. Execució d’un contracte.
D’entrada tampoc és motiu suficient, llevat que puguem justificar el principi de necessitat. És a dir, que es tracta d’una situació en què per complir el contracte es necessita molta seguretat i precisió en la identificació i no disposem d’altres eines no tan invasives que ens donin una seguretat equivalent. Això pot valdre per exemple per certes zones protegides de laboratoris o entitats bancàries, però no per la majoria d’empreses.
2. En segon lloc, una vegada tenim una legitimació suficient ens hem d’assegurar que:
2.1. No tractem les dades biomètriques per res més que el control de presència o horari. Si les tractem, a més per una altra cosa, haurem de repetir el mateix procés per l’altre tractament i aconseguir-ne la legitimació. Si ja és complicat només amb el control horari, ho serà molt més amb altres variables.
2.2. En el tractament de control de presència no es poden prendre decisions automatitzades que puguin tenir efectes jurídics sobre el treballador. És a dir, simplement es registra el control d’accés i prou, les decisions sobre si se sanciona o s’expedienta o s’avisa a un treballador, per exemple, no es poden processar automàticament.
2.3. Si en el tractament de reconeixement es fan servir tècniques d’intel·ligència artificial, s’haurà d’aplicar la normativa vigent sobre la matèria.
2.4. En qualsevol cas, caldrà fer l’Avaluació d’Impacte pertinent, on es documenti l’acreditació de la superació de la triple anàlisi d’idoneïtat, necessitat i proporcionalitat del tractament de dades biomètriques.
3. En tercer lloc, hem de ser conscients que cal complir un mínim de mesures de seguretat:
3.1. Informar els treballadors, o persones si no s’està en un entorn laboral, sobre el tractament biomètric i els riscos elevats que hi estan associats.
3.2. Implementar al sistema biomètric la possibilitat de revocar l’enllaç d’identitat entre la plantilla biomètrica (les dades digitalitzades que conformen una empremta digital, una imatge de la retina, etc.) i la persona física.
3.3. Implementar mitjans tècnics per assegurar-ne la impossibilitat d’utilitzar les plantilles per a qualsevol altre propòsit.
3.4. Utilitzar xifratge de dades per protegir la confidencialitat, disponibilitat i integritat de la plantilla biomètrica.
3.5. Utilitzar formats de dades o tecnologies específiques que impossibilitin la interconnexió de bases de dades biomètriques i la divulgació de dades no comprovada i autoritzada.
3.6. Suprimir les dades biomètriques quan no es vinculin a la finalitat que en va motivar el tractament.
3.7. Aplicar la minimització de les dades biomètriques recollides, amb una avaluació objectiva que no possibiliti la revelació d’altes categories de dades especialment protegides.
3.8. En el cas de registre de presència o control d’accés a l’àmbit laboral, s’han de recollir als convenis col·lectius el conjunt de garanties en relació amb l’article 91 de la LOPDGDD.
4. Finalment, AEPD (Agencia Española de Protección de Datos) recomana una sèrie de mesures per minimitzar el risc:
4.1. La utilització de tecnologies biomètriques hauria de basar-se en l’ús de dispositius sota el control exclusiu dels usuaris.
4.2. És recomanable que la presa de les dades es realitzi de forma conscient i voluntària per part de l’interessat, fins i tot amb l’exigència d’una acció positiva per part d’aquest per tal d’iniciar el processament de dades biomètriques.
4.3. Preferentment, no s’hauria de fer servir un emmagatzematge centralitzat de les plantilles biomètriques.
4.4. S’haurien d’implementar mecanismes automatitzats de supressió de dades.
4.5. Per últim, totes les accions i les mesures implementades es revisaran i actualitzaran quan sigui necessari.
En conclusió, a falta d’una legislació específica, considerem que si bé l’ús de sistemes biomètrics per al control horari és tècnicament possible i en algunes circumstàncies especials adequat i tot, a efectes pràctics, és molt difícil o impossible per la majoria d’empreses complir amb els criteris necessaris per legitimar la seva implantació.
