Novedades sobre el uso de datos biométricos para el control de acceso

• Ramon Baradat
• Jennifer Bel
• Valentín García

• Propiedad Intelectual
• Laboral
• Blog de Propiedad Intelectual y Tecnologías
• Blog de Derecho Laboral

Antecedentes: la Guía de 2023

En noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) publicó su guía sobre el uso de sistemas biométricos para el control de presencia en el ámbito laboral. Con la publicación de esta guía, la AEPD estableció una interpretación más restrictiva que los enfoques aplicados hasta entonces (ver nuestro Post anterior ¿Prohíbe la AEPD tratar datos biométricos para control de acceso?). La Agencia destacó que los datos biométricos, definidos como datos personales obtenidos a partir de un tratamiento técnico específico relativos a características físicas, fisiológicas o conductuales de una persona física que permiten o confirman su identificación única, constituyen una categoría especialmente protegida por el RGPD. La AEPD subrayó que, en el contexto del control de presencia laboral, tanto la identificación como la autenticación biométrica implican el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a la persona trabajadora, por lo que ambos supuestos quedan comprendidos en la prohibición general del artículo 9.1 del RGPD.

Esta prohibición general se excepciona en caso de que concurra alguna de las circunstancias específicas recogidas en el artículo 9.2 del RGPD, que enumera una serie de excepciones en las que el tratamiento de estos datos está permitido. En este sentido, la AEPD considera que, en el contexto laboral, las principales excepciones que podrían justificar el tratamiento de datos biométricos para el control de presencia o de acceso son: una habilitación legal específica o el consentimiento explícito del interesado.

En este contexto, la AEPD concluyó que la normativa española vigente no contiene una habilitación legal suficientemente específica y clara que permita el uso de datos biométricos para el control horario o de acceso en el ámbito laboral. Por otro lado, también concluye que, por regla general, el consentimiento del trabajador no se considera una base legítima para el tratamiento de datos biométricos en el entorno laboral, debido al desequilibrio de poder inherente a la relación laboral. Solo se considerará válido el consentimiento del trabajador en situaciones excepcionales, si se le ofrece una alternativa genuinamente equivalente y el empleador puede demostrar que la elección se realizó sin presión.

Dictamen reciente: la biometría en el sector público

Pues bien, la consulta resuelta recientemente por la AEPD sobre el uso de sistemas biométricos en la Guardia Civil (referencia REGAGE25e00024730156) introduce matices relevantes y abre la puerta a una interpretación más flexible del tratamiento de datos biométricos para el control de presencia y acceso.

En este dictamen, la AEPD analiza la implantación de un sistema de control de accesos basado en biometría para instalaciones de la Guardia Civil. La Agencia reconoce que existen sectores en los que la habilitación legal para el uso de la biometría puede derivarse de normas con rango de ley distintas a la legislación laboral. Así, se citan expresamente la Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad, la Ley Orgánica 7/2021 de protección de datos en el ámbito penal y la normativa sobre infraestructuras críticas como posibles bases legales suficientes. Sin embargo, estas normas no establecen una obligación expresa de utilizar datos biométricos, sino que habilitan, en términos generales, el uso de medidas de control y seguridad, entre las que se puede encontrar la biometría, si resulta necesaria y proporcionada.

Además, la AEPD indica que el Esquema Nacional de Seguridad (ENS) contempla la biometría como un posible medio para controlar el acceso a las instalaciones, lo que permite una interpretación más flexible y adaptada a los retos de la seguridad en el sector público, siempre y cuando el tratamiento de datos biométricos se base en una habilitación legal suficiente, se justifique su necesidad y proporcionalidad en relación con los fines perseguidos y se apliquen las garantías técnicas y organizativas exigidas tanto por el ENS como por la normativa de protección de datos.

Evolución del criterio: ¿hacia una mayor apertura?

El nuevo dictamen supone un cambio relevante, ya que las normas legales en las que ahora se fundamenta la habilitación (como la Ley Orgánica de Fuerzas y Cuerpos de Seguridad, la Ley de Protección de Infraestructuras Críticas o la Ley Orgánica 7/2021) no contienen una referencia expresa a la biometría ni imponen de manera directa el tratamiento de datos biométricos para el control de accesos.

Es precisamente en este contexto donde la mención al ENS adquiere especial relevancia. El ENS no constituye por sí mismo una habilitación legal autónoma, pero se configura como un marco normativo que puede exigir la implantación de medidas de seguridad avanzadas, como la biometría, siempre que sea necesario y proporcional, y se adopten las garantías adecuadas. De este modo, la AEPD parece está abriendo la puerta a que las entidades sujetas al ENS -incluidas las administraciones públicas y las entidades privadas que gestionan sistemas de información para el sector público o infraestructuras críticas- puedan implantar sistemas de control de acceso basados en datos biométricos siempre que la necesidad derive de las obligaciones impuestas por otras normas legales y se justifique debidamente en cada caso.

Este nuevo enfoque implica que, aunque no exista una obligación legal expresa de tratar datos biométricos, la concurrencia de una obligación de garantizar la seguridad (por ejemplo, la protección de infraestructuras críticas) junto con la aplicación del ENS puede legitimar el uso de sistemas biométricos para el control de accesos. Esto supone una flexibilización interpretativa respecto a la postura anterior de la AEPD y abre la posibilidad de que tanto entidades públicas como privadas sometidas al ENS puedan recurrir a la biometría, siempre bajo los principios de necesidad y proporcionalidad y con las garantías adecuadas.

No obstante, aunque el reciente dictamen de la AEPD en materia de seguridad pública e infraestructuras críticas puede interpretarse como una cierta flexibilización del criterio de la AEPD sobre el uso de la biometría, una nueva sanción por este tipo de tratamiento (EXP202209645) demuestra que la Agencia sigue aplicando el criterio mantenido en su guía de 2023. En este caso, la AEPD sancionó a un zoológico por implantar un sistema de control de acceso mediante huella dactilar sin una base legal adecuada, sin realizar una evaluación de impacto y sin ofrecer alternativas menos intrusivas a los trabajadores.

En resumen, el tratamiento de datos biométricos en los ámbitos laboral y de accesos se halla en una encrucijada normativa y práctica. La AEPD ha dejado la puerta entreabierta a una interpretación más flexible en contextos de interés público esencial, infraestructuras críticas y seguridad, especialmente bajo el amparo del ENS y de la normativa sectorial. No obstante, en el sector privado se mantiene la máxima cautela, y la biometría solo se puede utilizar en casos excepcionales, debidamente justificados y con estrictas garantías.

Autores: Valentin García, Jennifer Bel y Ramon Baradat, en colaboración con Pere Puig.

• Ramon Baradat
• Jennifer Bel
• Valentín García

• Propiedad Intelectual
• Laboral
• Blog de Propiedad Intelectual y Tecnologías
• Blog de Derecho Laboral