La gestió de la biometria, és a dir, la medició de les característiques físiques de les persones per a la seva autenticació, torna a estar sobre la taula. Bé, es pot dir que mai ha marxat? No, però és que recentment l’Agencia Española de Protección de Datos (AEPD) ha publicat una nova guia sobre tractaments de control de presència mitjançant sistemes biomètrics i això és senyal inequívoc que el tema ha generat molta preocupació i dubtes entre empreses i empleats.
És una tecnologia cada cop més estesa i, per tant, amb possibilitats d’arribar a funcionaments incorrectes o que generin rebuig entre les persones que l’han de “patir” pel desconeixement del tractament que es fa o es farà de les seves dades personals, en aquest cas les seves dades biomètriques.
Val la pena començar per advertir que la biometria es considera dada sensible, és a dir, d’especial protecció. Són dades que permeten confirmar o identificar exactament la persona a través de les seves característiques físiques, fisiològiques o conductuals. Parlem del reconeixement facial o les empremtes digitals.
El conflicte que intenta aclarir l’AEPD és si per registrar els horaris de la jornada laboral o el control d’accessos a determinats espais cal, o està justificat, utilitzar aquests mètodes tan intrusius.
No hi ha alternativa per no entrar en aquest terreny tan delicat? Sí, és clar que n’hi ha. Amb els seus avantatges i desavantatges. Llavors, s’ha de deixar de fer servir la biometria? No, si, d’acord amb l’RGPD el tractament és adequat, pertinent i limitat al que és necessari en relació amb la finalitat per la qual són tractades les dades. La qüestió és si realment cal aquest ús per un control horari o un accés a les instal·lacions de l’empresa. Perquè si parlem estrictament d’aquests fets, en un entorn absolutament ordinari, és difícil justificar-ho.
La recomanació, per tant, és investigar alternatives tecnològiques, o no, per processar aquesta informació mitjançant implementacions equivalents però menys invasives, que minimitzin l’ús de dades addicionals.
I en cap cas es pot fer servir biometria? Atès el comentat, no és impossible fer-ho servir, però cal que estigui absolutament justificat, per tant, ha de ser un cas realment excepcional. Un àmbit o activitat que ja estigui regulat així per la seva particularitat i admeti controls biomètrics sense que depengui d’un consentiment del treballador o una mera execució d’un contracte.
En el context d’implementar un sistema biomètric per al control de presència i complir tots els requisits corresponents, cal establir garanties i mesures organitzatives, tècniques i jurídiques que exigeix la normativa.
Això implica informar els treballadors sobre el tractament biomètric i els seus riscos, permetre la revocació de la identificació biomètrica, assegurar la limitació d’ús de la informació, aplicar xifratge per salvaguardar la confidencialitat de les dades, utilitzar sistemes que impedeixin la interconnexió i divulgació de dades biomètriques, eliminar la informació no utilitzada, minimitzar la recopilació de dades biomètriques i establir garanties i drets als convenis col·lectius relacionats amb el tractament d’aquestes dades.