Datos biométricos y el control de asistencia: ¿cómo cumplir con el RGPD?

datos-biometricos

Datos biométricos y el control de asistencia: ¿cómo cumplir con el RGPD?

La recogida y tratamiento de datos biométricos forma parte de la rutina diaria de muchísimas empresas. Datos muy sensibles que requieren, en todos los casos, unos cuidadosos procedimientos de gestión. En primer lugar, por una cuestión meramente ética. Hablamos de datos que identifican singularmente a cada individuo. Son sus señas de identidad primordiales. Y, en segundo lugar, para poder cumplir las normativas vigentes de protección de datos personales. En otras palabras: para cumplir el RGPD (Reglamento General de Protección de Datos).

Déjanos explicarte qué son exactamente los llamados datos biométricos y cómo debes proceder en su tratamiento y conservación para no exponer tu empresa a denuncias que podrían resultar en cuantiosas multas.

 

¿Qué son los datos biométricos?

Los datos biométricos son datos personales de los rasgos físicos o conductuales de cada individuo. Se obtienen mediante biometría informática, es decir, utilizando técnicas informáticas basadas en matemáticas y estadísticas para generar una autentificación precisa. Los datos formales más utilizados van desde la huella dactilar hasta la forma de las orejas, pasando por la geometría de la mano, la geometría de las venas, la geometría de la cara o la geometría de rasgos oculares como la retina o el iris.

Por su parte, los datos biométricos conductuales incluyen la manera de escribir, la manera de escribir en teclado, la manera de caminar, la manera de hablar y, por supuesto, la firma. Todos ellos sirven, con una mayor o menor precisión, para identificar a cada persona de manera única. Algo que resulta enormemente útil para realizar un control de acceso, tanto a zonas restringidas como a informaciones confidenciales. También, claro, para realizar un control de asistencia de los trabajadores.

¿Ha venido un empleado a trabajar hoy? ¿A qué hora entró por la puerta de la oficina? ¿A qué hora salió de ella? ¿Cuántas horas extras ha realizado este mes? Los mecanismos biométricos como el reconocimiento facial son herramientas magníficas para realizar este control de manera precisa y segura. El artículo 20 del Estatuto de los Trabajadores sobre medidas de control los ampara siempre que sean necesarios. ¿Pero cómo tratar de manera adecuada esos datos resultantes? ¿Cómo protegerlos?

 

¿Cómo proteger los datos biométricos?

La entrada en vigor del Reglamento General de Protección de Datos en mayo de 2018 supuso automáticamente que la vieja Ley Orgánica de Protección de Datos fuese totalmente insuficiente. Esta gran diferencia entre LOPD y RGPD ha provocado mucha confusión entre los empresarios y profesionales, confusos estos últimos acerca de cómo cumplir el RGPD siendo autónomo. Especialmente cuando hay datos biométricos involucrados. Porque el RGPD tiene la última palabra. Sus preceptos fundamentales son axiomas para todos los estados miembros de la Unión Europea.

¿Y qué dice esta normativa europea acerca de la huella digital y demás datos biométricos? Pues, básicamente, que son datos sensibles. Esto implica una serie de características especiales en su tratamiento. Como requerir el consentimiento explícito de los trabajadores, informarles de la finalidad exacta para la que serán utilizados esos datos, limitar su utilización a esos fines y ningún otro, realizar una evaluación de impacto de esos datos, efectuar un registro de actividades de tratamiento o suprimirlos una vez cumplido su tiempo de uso consentido.

También otras como la necesidad de no almacenarlos de manera centralizada, sino en dispositivos cifrados que lleven encima los trabajadores. Y, muy importante, de almacenarlos de manera cifrada. Todo encaminado a que la protección de esos datos, tan personales y sensibles, no caigan en manos equivocadas. Además, deberá tenerse un protocolo de acceso donde se registre quién y cuándo ha accedido a los datos biométricos de los trabajadores. Si utilizas en tu empresa un lector de huella digital u otro sistema biométrico, más te vale cumplir con el RGPD.