En un entorno cada vez más digitalizado, las empresas han comenzado a implementar sistemas biométricos para controlar horarios y accesos. Sin embargo, la Agencia Española de Protección de Datos (AEPD) ha recordado que, incluso si la imagen física de una huella no se almacena, su representación matemática constituye un dato biométrico sensible bajo el Reglamento General de Protección de Datos (RGPD).
La resolución PS-00432/2023 aclara un caso específico donde una empresa utilizó huellas dactilares para el control horario, sin ofrecer alternativas. Aunque la compañía defendía que solo almacenaba una «plantilla biométrica cifrada,» la AEPD determinó que esto sigue siendo tratamiento de datos biométricos con fines de identificación, activando las exigencias del RGPD.
La AEPD destaca que la verificación biométrica, aunque se realice mediante plantillas cifradas, sigue permitiendo la identificación unívoca de una persona, cumpliendo así con la definición de datos biométricos del RGPD. Esto significa que las empresas que usan tecnología biométrica afrontan ciertas obligaciones legales.
Las compañías deben justificar el uso de biometría mostrando su necesidad y proporcionalidad. Además, están obligadas a realizar Evaluaciones de Impacto de Protección de Datos (EIPD) debido al alto riesgo asociado. También deben ofrecer alternativas no biométricas, como tarjetas o códigos PIN, garantizando que estas opciones sean funcionales y no impliquen desventajas para el usuario.
El uso de datos biométricos también requiere transparencia hacia los empleados: explicar qué datos se recopilan, sus fines, almacenamiento, duración y el ejercicio de derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
Además, los proveedores de sistemas biométricos no pueden eludir la normativa simplemente no almacenando imágenes. Los sistemas deben diseñarse para cumplir con el RGPD desde su concepción. Si las plantillas se almacenan en la nube, el proveedor se convierte en encargado del tratamiento y debe cumplir con los contratos y transferencias de datos pertinentes.
En resumen, el uso de tecnología avanzada no exime del cumplimiento de requisitos legales. La AEPD ha subrayado que, aunque la huella no sea visible, si identifica, merece protección. Estas regulaciones protegen tanto al ciudadano como a las empresas, promoviendo un desarrollo tecnológico responsable.
