El 28 de mayo pasado se aplicó en España el Reglamento General de Protección de Datos del Parlamento y el Consejo Europeos. Muchos ciudadanos de a pie lo advirtieron al recibir correos electrónicos de publicidad o comunicaciones que no habían colocado por dejadez en su bandeja de spam y que, súbitamente, solicitaban permiso para seguir enviando tales comunicados.
Cierto que, después de negar esa autorización, muchas empresas hicieron caso omiso del trámite y han continuado en sus trece, pero al menos la aplicación de la norma tuvo un efecto disuasorio en ese terreno.
El Reglamento europeo, que en España es aplicable tanto como la LOPD, regula el tratamiento de muchos tipos de datos, pero aquí nos fijaremos en los sistemas biométricos, calificados por el texto legal de “datos sensibles que requieren de una especial protección”, sin que la norma detalle las medidas mínimas exigibles.
En su artículo 4.14, el Reglamento define los datos biométricos como aquellos «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».
Novedades para las empresas que utilicen sistemas biométricos
Como principio general, en su considerando 78 dicho Reglamento exige al responsable del tratamiento de datos personales «adoptar políticas internas y aplicar medidas que cumplan los principios de protección de datos desde el diseño y por defecto» y ofrece varias posibilidades a título indicativo sobre cuáles podrán ser esas medidas entre las que propone «dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisarlo y a su responsable crear y mejorar elementos de seguridad».
Dos novedades sobre el papel que afectarían a las empresas con «datos sensibles” son:
- Obligación de realizar un “análisis de riesgo” por una empresa especializada que deberá indicar los posibles riesgos y las medidas a tomar para corregirlos.
- Proceder a una «evaluación de impacto» (considerando 91) de los tratamientos de datos en aquellos casos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas.
El sentido último del Reglamento es garantizar la libertad y seguridad individuales, por lo que su artículo 9 prohíbe «el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física».
En cuanto al empleo de sistemas biométricos en la empresa tanto en control de presencia como en control de acceso o incluso en control de rondas, ya sea por huella dactilar o reconocimiento facial, nos fijaremos en la excepción b) de este artículo, que autoriza el tratamiento de datos «cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así́ lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado».
Por tanto, partiendo del principio establecido en la LOPD española de que el uso de datos personales ha de ser proporcionado y justificado, el trabajador viene obligado a facilitar los datos biométricos, como han refrendado varias sentencias.
La garantía de los sistemas biométricos para sus usuarios y la importancia del volumen de datos
El uso de un atributo físico y único, como la huella digital o el iris es la solución más rápida y sencilla disponible en el mercado para identificar a trabajadores, visitantes, etc. Por este motivo, tienen una gran implantación en la gestión de RRHH.
El procedimiento garantiza por si mismo que los datos de los usuarios no pueden ser reutilizados de ningún modo, ni siquiera por ordenadores. Ello se debe a que los datos en el sistemas biométricos de cada persona (“plantillas biométricas”) se componen de una serie de puntos que se almacenan digitalmente y que no pueden ser sometidos a operaciones de ingeniería inversa para recrear la información personal de donde provienen. La suma de estos puntos no puede recrear el atributo físico del que partieron, por lo que esos datos personales de los sujetos están a salvo, no pueden ser robados y tampoco utilizados para un fin distinto del que motivó su obtención.
Por último, conviene resaltar que el RGDP encierra un componente intencional de cambio de mentalidad que apunta al principio de responsabilidad proactiva. Por ello deja a los responsables del tratamiento de datos la tarea de fijar las medidas que estime oportunas para salvaguardar la confidencialidad y protección de los datos personales. Y no solo da un amplio margen de discrecionalidad a las empresas y legislaciones de cada Estado miembro para desarrollar sus propios criterios sino que en el caso de la «evaluación del impacto» pone el énfasis y la prioridad en las «operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional», quedando las empresas pequeñas y medianas en otro plano. También reserva para los volúmenes de datos a gran escala la necesidad de la figura del «Delegado de protección de datos».