El Reglament General de Protecció de Dades (“RGPD”) defineix les dades biomètriques com a aquelles dades personals obtingudes a partir d'un tractament tècnic específic, relatius a les característiques físiques, fisiològiques o conductuals d'una persona física que permetin la identificació única d'aquesta persona, com imatges facials o dades dactiloscòpiques.

És habitual que les empreses, durant els últims anys, hagin implementat sistemes de control d’accés i registre de jornada laboral que utilitzin dades biomètriques, com és el cas de l’empremta dactilar, és a dir, el fitxatge mitjançant el dit. Malgrat que el RGPD prohibeix, amb caràcter general, el tractament de dades biomètriques, aquest sistema de control d’accés i registre de jornada laboral estava admès per tenir com a base de legitimació alguna de les recollides en l’article 9.2 del RGPD, això és: l’existència d’una norma amb rang legal que obligui l’empresa a tractar aquestes dades o a disposar del consentiment explícit de l’interessat. Per tant, fins al moment, el criteri majoritari era que si l’empresa obtenia el consentiment explícit i degudament informat dels seus treballadors, podia implementar sistemes de control d’accés i registre de jornada laboral que fessin servir dades biomètriques.

Aquest criteri s’ha vist restringit per l’Agència Espanyola de Protecció de Dades (“AEPD”) quan, el mes de novembre de 2023, va publicar la “Guia sobre tractament de control de presència mitjançant sistemes biomètrics”, d’acord amb els nous criteris fixats per les directrius del Comitè Europeu de Protecció de Dades. El recent pronunciament de l’AEPD adverteix que el consentiment explícit i degudament informat dels treballadors, no es considera per si sol una base de legitimació suficient per fer ús d’aquests sistemes, per ser un tractament d’alt risc que inclou categories especials de dades. En conseqüència, d’acord amb l’AEPD, l’empresa per utilitzar aquests sistemes i tractar amb dades biomètriques, hauria d’acreditar objectivament que aquests sistemes de tractament són estrictament necessaris i idonis, havent de dur a terme una anàlisi de riscos, una avaluació d’impacte i superar un test d’idoneïtat, necessitat i proporcionalitat de manera que, entre altres, caldrà valorar si es poden utilitzar sistemes alternatius, menys intrusius, per complir amb la mateixa finalitat, com per exemple el fitxatge mitjançant targetes, així com justificar una base de legitimació vàlida, com seria una norma amb rang de llei que possibiliti la utilització de dades biomètriques per a aquesta finalitat, circumstància que no es dona, en l’actualitat, en el nostre ordenament jurídic.

En conclusió, l’AEPD no prohibeix taxativament la utilització de sistemes de control d’accés i registre de jornada laboral que tractin dades biomètriques, però estableix uns límits i requisits tan estrictes, que es desaconsella utilitzar aquests sistemes davant la inseguretat jurídica actual, malgrat que en un futur l’AEPD pugui establir criteris més concrets sobre aquest tractament.