En la era digital, el uso de sistemas biométricos en el ámbito empresarial se ha vuelto cada vez más común. No obstante, la Agencia Española de Protección de Datos (AEPD) ha lanzado una advertencia contundente sobre el manejo de datos relacionados con huellas digitales. Aunque las empresas aseguren que solo utilizan representaciones matemáticas cifradas y no almacenan imágenes de huellas, la AEPD aclara que este procedimiento constituye un tratamiento de datos biométricos sensibles según el Reglamento General de Protección de Datos (RGPD).
En su reciente resolución PS-00432/2023, la AEPD analizaba el caso de una empresa que implementó un sistema de control horario basado en huellas dactilares, sin ofrecer una alternativa a sus empleados. La compañía defendía que, al no almacenar la imagen de la huella sino solo una plantilla biométrica cifrada, no transgredía el RGPD. Sin embargo, la AEPD destacó que si esta plantilla permite identificar a una persona, se está tratando un dato biométrico bajo las estrictas exigencias del artículo 9 del RGPD.
Uno de los puntos cruciales abarca el concepto de correspondencia biométrica. Aunque el sistema no revele el nombre del individuo, basta con establecer que «es el mismo que ayer» para que se considere identificación y active las obligaciones legales pertinentes. Esto implica que las prometidas soluciones biométricas “anónimas” deben adherirse a las normas de protección de datos.
Las obligaciones para las empresas no terminan ahí. Deben garantizar una base jurídica adecuada, para lo cual el consentimiento no suele ser viable debido a las relaciones laborales de dependencia. Además, es esencial realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de implementar cualquier sistema biométrico, y brindar alternativas no biométricas a sus empleados, como tarjetas RFID o códigos PIN.
El principio de transparencia es otro requisito indispensable, pues es necesario proporcionar información clara sobre los datos recopilados, su finalidad, almacenamiento y derechos de los usuarios. A esto se suma la obligación de mantener altos estándares de seguridad y minimización de datos, tratándose solo los absolutamente necesarios.
Este precedente también envía un mensaje claro a los desarrolladores y proveedores de sistemas biométricos. Simplemente “no guardar la imagen de la huella” no es suficiente para esquivar las normativas. La privacidad debe estar diseñada e implementada desde el inicio.
En caso de que la tecnología opere en la nube, los contratos de tratamiento deberán cumplir con el RGPD, especialmente si los datos se gestionan fuera del Espacio Económico Europeo. Los proveedores deben respetar los mecanismos de transferencia internacional de datos.
En resumen, la protección de datos biométricos no es meramente una cuestión burocrática; incluso si las huellas no se ven, si identifican al usuario, deben ser protegidas. Esta regulación no solo resguarda derechos ciudadanos, sino que también proporciona seguridad jurídica para las empresas, promoviendo un desarrollo tecnológico ético y responsable.
Más información y referencias en Noticias Cloud.
