Dictamen 1/2023 del Consejo de Transparencia y Protección de Datos de Andalucía sobre el tratamiento de datos biométricos para el control de la jornada laboral
NORMATIVA APLICABLE
– Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
– Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
– Dictamen 1/2023 del Consejo de Transparencia y Protección de Datos de Andalucía.
– Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.
– Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD).
– Dictamen 1/2022 del Consejo de Transparencia y Protección de Datos de Andalucía.
– Dictamen 3/2012 Grupo de Trabajo del artículo 29.
- INTRODUCCIÓN
Recientemente el Consejo de Transparencia y Protección de Datos de Andalucía, autoridad independiente de control en materia de transparencia y protección de datos de la Comunidad Autónoma de Andalucía, creado por la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía, ha emitido un Dictamen en respuesta a una consulta realizada por una Administración local en la que analiza la legitimidad de los sistemas de reconocimiento facial o huella dactilar para el control de horario de su personal, planteando si tal supuesto constituye un tratamiento de datos biométricos y si el mismo es lícito desde el punto de vista de la vigente normativa de protección de datos, entendiendo que, en su caso, tendrá que realizarse una Evaluación de Impacto de Protección de Datos (EIPD). Si bien, como hemos referido, la consulta es planteada por un organismo público, las conclusiones han de ser llevadas a sector privado de conformidad con la normativa de aplicación.
- SOBRE LA Naturaleza y consideración del tratamiento REALIZADO A TRAVÉS DE SISTEMAS BIOMÉTRICOS
- Datos personales: toda información sobre una persona física identificada o identificable (‘el interesado’).
- Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópico.
- Se concluye que el uso de dispositivos de reconocimiento facial o dactilar para el control de la jornada implica realizar un tratamiento de datos de carácter personal – biométricos.
- Por tanto, el control facial y dactilar están sujetos a la normativa en materia de protección de datos.
- SOBRE LA Licitud del tratamiento de datos para el control de presencia y alcance del tratamiento de datos biométricos con dicha finalidad
- El tratamiento de datos en la consulta planteada se justifica por la existencia de un contrato entre las partes (lo que sería correcto según el artículo 6.1 b) del RGPD)
- Sin embargo, el tratamiento de los datos biométricos está prohibido por el artículo 9.1 RGPD con carácter general por tratarse de un dato sensible.
- Excepciones a la prohibición:
- Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del Derecho Laboral siempre que así lo establezca una norma de carácter legal (en España no existe) o así venga fijado por Convenio Colectivo (artículo 9.2 b) del RGPD)
- Por consentimiento explícito del interesado (artículo 9.2 a) del RGPD).
- Este consentimiento ha de ser libre, específico, informado, inequívoco (artículos 4.11 y Art. 7 del RGPD).
- Se entiende que es libre el otorgamiento del consentimiento cuando se han habilitado alternativas, de modo que pueda atenderse a los interesados sin que se tenga que realizar un tratamiento de sus datos biométricos.
- Principios, obligaciones y recomendaciones en relación con el tratamiento de datos biométricos para el control de presencia.
- En todo caso, el tratamiento de datos biométricos debe de cumplir con el resto de los principios y obligaciones derivados de la normativa de protección de datos, entre otros, el de minimización. Con carácter previo al tratamiento deben tenerse en cuenta las siguientes consideraciones:
- El sistema biométrico ha de ser esencial.
- El sistema biométrico ha de ser eficaz para responder a la necesidad.
- Equilibrio entre pérdida de intimidad y beneficios.
- Si existe un medio menos invasivo que alcanzase el mismo fin deseado de control.
- En todo caso, el tratamiento de datos biométricos debe de cumplir con el resto de los principios y obligaciones derivados de la normativa de protección de datos, entre otros, el de minimización. Con carácter previo al tratamiento deben tenerse en cuenta las siguientes consideraciones:
- Directrices y recomendaciones:
- El trabajador debe ser informado sobre el tratamiento de datos a realizar.
- Debe respetarse el principio de limitación de la finalidad junto con los demás principios de protección de datos: especialmente, los de necesidad, proporcionalidad y minimización de datos.
- El tratamiento deberá ser adecuado, pertinente y no excesivo en relación con dicha finalidad.
- Los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible.
- El sistema biométrico utilizado y las medidas de seguridad elegidas deberán asegurarse de que es imposible o al menos rastreable la reutilización de los datos biométricos en cuestión para otra finalidad.
- Deberán utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.
- Los sistemas biométricos deberán diseñarse de modo que se pueda revocar el vínculo de identidad.
- Deberá optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implantarse mecanismos automatizados de supresión de datos.
- Realización de Evaluación de Impacto relativa a la protección de datos (EIPD).
El tratamiento de datos objeto de análisis requiere de la realización previa a su puesta en marcha de le la correspondiente Evaluación de Impacto de protección de Datos (art. 35 RGPD).
- a) El uso de dispositivos de reconocimiento facial y/o huella dactilar con la finalidad de un control horario del personal implica un tratamiento de datos personales biométricos, sujeto a la normativa de protección de datos.
- b) La base de legitimación para el tratamiento de datos con la finalidad de controlar la presencia o la jornada laboral del personal podría encontrarse en el artículo 6.1 b) del RGPD y también en el artículo 6.1 c) del RGDP.
- c) Los datos biométricos son una categoría especial de datos personales, por lo que su tratamiento debe considerarse, en principio prohibido, conforme a lo dispuesto en el artículo 9.1 del RGDP.
- d) El levantamiento de la referida prohibición no puede ampararse en la actualidad en la concurrencia de la circunstancia prevista en el artículo 9.2 b) del RGPD puesto que en la actual normativa española no se contiene autorización para considerar necesario dicho tratamiento con la finalidad de un control horario de la jornada de trabajo.
- e) Podría considerarse como base legitimadora el consentimiento expreso/explícito únicamente si se dispone de una alternativa de libre elección para cumplir el control horario o de presencia y si el consentimiento es informado, inequívoco y demostrable por el responsable del tratamiento.
- f) El tratamiento de datos biométricos con la finalidad de control de presencia deberá cumplir con el resto de los principios y obligaciones derivados de la normativa de protección de datos, y seguir las directrices y recomendaciones recogidas en el Dictamen 3/2012 Grupo de Trabajo del artículo 29.
- g) El responsable del tratamiento realizará antes del tratamiento la evaluación del impacto relativa a la protección de datos establecida en el artículo 35 del RGPD.
Si desea ampliar información, puede acceder a los siguientes textos normativos:
– Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, pinchando aquí.
– Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, pinchando aquí.
– Dictamen 1/2023 del Consejo de Transparencia y Protección de Datos de Andalucía, pinchando aquí.
– Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía, pinchando aquí.
– Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD), pinchando aquí.
– Dictamen 1/2022 del Consejo de Transparencia y Protección de Datos de Andalucía, pinchando aquí.
– Dictamen 3/2012 Grupo de Trabajo del artículo 29, pinchando aquí.
Long story short I m now 21 weeks pregnant cialis no prescription not including prophylactic oophorectomy and chemoprevention, was effective at reducing decisional conflict in women who remained undecided about breast cancer prevention
Arzneim Forsch Drug Res 43 I 313 319 generic cialis
Гў Goodboy YoKGCCePNM 5 21 2022 cheapest cialis generic online berkhoffii Dog, 43, 44 horse, 42 red wolf 42 EPITHELIOID HEMANGIOENDOTHELIOMA B
i get insane pumps from it in the gym and my strength went up a lot since I added it can i buy priligy in usa
hrk3zq