Tras la noticia de la sanción de 27.000€ a un gimnasio el pasado mes de febrero por parte de la AEPD (Agencia Española de Protección de Datos), ahora conocemos en este mes de abril, la nueva sanción a una empresa por parte del mismo organismo estatal y por el mismo motivo, pero en esta ocasión por un importe de 365.000€. La causa: hacer identificarse para acceder a un lugar mediante un sistema de lectura biométrica de la huella dactilar. En el caso del gimnasio a los socios, y en el caso de la empresa a sus empleados.  El efecto: Infracción en materia de protección de datos personales. Las consecuencias: Sanciones económicas. José Luis Gómez Calvo, analista de riesgos y experto en seguridad de instalaciones y actividades deportivas analiza la situación.

Estos hechos nos llevan a hacernos las tres preguntas siguientes:

  • La primera pregunta es: ¿Se están poniendo travas a las “Nuevas Tecnologías”?

No. Se está tratando de que la implantación de las Nuevas Tecnologías se haga teniendo en cuenta los derechos de las personas en todo aquello que pueda afectar a su privacidad, intimidad, honor y propia imagen.

Y es que dichos derechos, se pueden ver afectados por las Nuevas Tecnologías que como en el caso de la lectura de identificación biométrica, permiten conocer datos de naturaleza privada o intima de las personas, que al aplicar procedimientos informatizados de tratamiento sobre ellos, pudieran quedar expuestos a riesgos de intromisión, conocimiento no autorizado por parte de otras personas o entidades, alteración indebida, uso divulgativo no conocido previamente, publicidad o intereses comerciales invasivas, etc.

  • La segunda pregunta, naturalmente es, ¿En qué puede repercutir a efectos legales de protección de datos, la utilización de la huella digital para el control de presencia?

La respuesta la encontramos en el RGPD (Reglamento General de Protección de Datos), que en su artículo 9.1 dice que queda prohibido el tratamiento de datos personales biométricos y de los relativos a la salud. Lo cual, en el caso de los datos obtenidos mediante lectura biométrica de la huella dactilar, se da una doble circunstancia de la que nos informa la Guía sobre tratamientos de control de presencia mediante sistemas biométricos de la AEPD, y es lo siguiente:

“…algunos sistemas de identificación mediante huella dactilar permiten el registro de parámetros como la temperatura o la presión sanguínea. 

Con lo cual, en el mencionado caso de los datos mediante huella dactilar, se puede dar la doble condición de ser biométricos y de salud.

  • La tercera pregunta surge al hilo de las consideraciones anteriores, ¿Es que entonces no se puede utilizar la huella dactilar para el control de presencia?

Si se puede utilizar, pero solo cuando se cumplan tres condiciones:

  • La primera: La imposibilidad de poder utilizar otro procedimiento menos invasivo para los derechos de las personas, como pueden ser, las tarjetas o pulseras dotadas de dispositivos RFID (Identificación por Radio Frecuencia), códigos o aplicaciones móviles.
  • La segunda y fundamental, que incluso condiciona a la primera, y es que se produzca el consentimiento explícito e inequívoco de las personas afectadas, que previamente han de ser informadas de una manera clara de la finalidad para lo cual se van a tratar los datos biométricos de huella dactilar, y de sus derechos, que son los de: acceso, rectificación, oposición, supresión, limitación, portabilidad, limitación y oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).
  • La tercera, es que antes de la implantación de un sistema de tratamiento de datos biométricos hay que realizar una EIPD (Evaluación de impacto para la Protección de Datos), que tenga en cuenta los principios de: Idoneidad, proporcionalidad, licitud, necesidad y minimización, y adoptar las medidas técnicas y organizativas de protección adecuadas a los riesgos que hayan sido evaluados.

El incumplimiento de las tres condiciones es lo que ha llevado a la AEPD ha imponer las sanciones anteriores citadas.

La conclusión es, que para el control de accesos a un lugar, ya sea por parte de los empleados del mismo o de otras personas ajenas a la empresa como el caso de socios de un gimnasio por ejemplo, hay que utilizar sistemas que no sean invasivos respecto a la privacidad e intimidad personales, como son los sistemas biométricos en general y los sistemas mediante lectores de huella dactilar en particular,  y si finalmente hay circunstancias que hacen necesaria su utilización, esta, debe realizarse mediante las acciones anteriormente expuestas:

  • Justificar el no poder utilizar otros procedimientos menos invasivos.
  • Pedir los afectados el consentimiento expreso tras ser debidamente informados de los fines del tratamiento y de sus derechos.
  • Realizar de forma previa a la implantación una Evaluación de Impacto y la adopción de medidas y medios de protección en función de los riesgos evaluados.

Todo ello debidamente acreditado y documentado.

José Luis Gómez Calvo
Analista de riesgos
Experto en seguridad de instalaciones y actividades deportivas.

Etiquetas:
0 veces compartido