La Agencia Española de Protección de Datos (AEPD) ha señalado que las empresas que utilicen sistemas de control biométrico de entrada podrían ser sancionadas por utilizar la huella dactilar, pues va en contra de la normativa impuesta y ahora es considerado ilegal, incluso cuando el empleado ha dado su consentimiento de uso, informó el medio de noticias tecnológicas Xataka.
El cambio proviene de una actualización en los criterios del Comité Europeo de Protección de Datos, que considera que si bien la identificación biométrica (identificar a un individuo entre muchos) y la autenticación (verificar la identidad de un individuo) son diferentes, por el procesamiento de datos biométricos, ambas constituyen un tratamiento de categorías especiales de datos personales.
De este modo, la AEPD actualizó recientemente sus directrices y publicó una guía para el tratamiento de control de presencia mediante sistemas biométricos. Con esto, aunque en el pasado no se consideraba excesivo el uso de la huella dactilar para checar la entrada y salida de personal, ahora abre la posibilidad a una sanción para la empresa.
Con esta modificación, los sistemas de identificación biométrica por huella dactilar o reconocimiento facial deberán ser sustituidos por cualquier otros sistemas que no implique el uso de estos datos, salvo en las excepciones que marque el artículo 9 del Reglamento General de Protección de Datos de la Unión Europea. Además, las empresas podrán ser sancionadas por la AEPD sin importar si el sistema biométrico fue instalado cuando el tratamiento de datos era legal.
En el caso de México, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) publicó en 2018 la Guía para el Tratamiento de Datos Biométricos, que establece una serie de recomendaciones, sin embargo, en la práctica no siempre son debidamente atendidas.
Además, en el caso de los sujetos obligados ─como autoridades u organismos públicos─, deberán realizar una evaluación de impacto en la protección de datos personales que justifique el tratamiento de datos biométricos, como reafirmó la sentencia de la acción de inconstitucionalidad en contra del Padrón Nacional de Usuarios de Telefonía Móvil.
En el caso de los particulares, si bien la presentación de la evaluación de impacto no es necesariamente obligatoria, sí resulta importante en casos donde pudieran presentarse afectaciones a los derechos humanos, como ocurre con la implementación del FAN ID, donde lamentablemente el propio INAI ha contribuido a la opacidad sobre el funcionamiento del sistema y sus impactos.
Imagen (CC BY) Gibrán Aquino