Datos biométricos para controlar accesos; así hay que usarlos, según la AEPD

Los sistemas biométricos para autenticar una identidad o para controlar los accesos y la presencia en el trabajo han proliferado durante los últimos años, y ahora la Agencia Española de Protección de Datos (AEPD) ha publicado una guía para fijar los criterios de utilización de esa tecnología, capaz de captar muchos datos personales.
Los sistemas biométricos para autenticar una identidad o para controlar los accesos y la presencia en el trabajo han proliferado durante los últimos años, y ahora la Agencia Española de Protección de Datos (AEPD) ha publicado una guía para fijar los criterios de utilización de esa tecnología, capaz de captar muchos datos personales.La guía publicada por el organismo que vela por el adecuado tratamiento de los datos personales en España señala cómo deben utilizarse esos sistemas biométricos para el control de acceso de las personas, tanto con fines laborales como no laborales, y establece las medidas que se deben tener en cuenta para que el tratamiento de los datos personales se ajuste a las normas vigentes en España.Estos sistemas biométricos y el tratamiento de datos que se pueden obtener a partir de ellos están evolucionando muy rápidamente, y además de aumentar el detalle de la información recogida permiten la posibilidad de recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello, ha señalado la Agencia en una nota difundida hoy.A ello se suma el desarrollo de la inteligencia artificial, que puede utilizarse para inferir información adicional sobre las personas, y la AEPD ha considerado por ello el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de «alto riesgo».Así, en el caso del registro de jornada y control de acceso con fines laborales, los responsable deben contar con una norma con rango de ley que autorice específicamente a utilizar datos biométricos para esa finalidad. La Agencia ha especificado que, en el marco de estos tratamientos, el consentimiento del empleado no puede levantar la prohibición ni ser una base para determinar la licitud de este, ya que existe un desequilibrio entre la persona a la que se somete al tratamiento y quién lo está llevando a cabo. La guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o que le afecten significativamente.La AEPD ha incidido en que, en caso de pretender captar datos biométricos y antes de iniciar el tratamiento, es obligatoria la realización de una «evaluación de impacto para la protección de datos» en la que se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad de ese tratamiento.Los responsables de esos sistemas deben Informar a las personas sobre el tratamiento biométrico y sobre los riesgos elevados asociados al mismo, deben asegurarse de que es imposible utilizar las plantillas para otros propósitos, y utilizar cifrados para proteger la confidencialidad, la disponibilidad y la integridad de las plantillas biométricas.