Ús de l’empremta digital en controls d’accés. És legal?

Mentre observem que a tot arreu prolifera alegrement l’ús de l’empremta digital com a sistema de control d’accessos ―i ho hem vist en gimnasos, instituts, administracions i empreses en general―, ens trobem paradoxalment amb una manca de criteris clars i oficials sobre el seu tractament jurídic, que planteja no pas pocs problemes.

Amb l’entrada en aplicació del nou Reglament General de Protecció de Dades (RGPD), l’empremta digital, com a dada biomètrica que permet la identificació unívoca d’una persona física, és considerada una dada de categoria especial. Què vol dir això? Que per al seu tractament caldrà comptar amb una justificació especial i taxada, com passa amb les dades de salut o d’ideologia.

El primer problema del control biomètric és saber si és necessari i proporcionat. Fins a dia d’avui, nombroses resolucions de l’Agència Espanyola de Protecció de Dades han imposat multes rellevants per l’ús descontrolat de controls biomètrics en gimnasos i establiments, amb l’argument de què el seu ús és desproporcionat i que, en molts casos, es podria haver assolit la mateixa finalitat sense haver de fer servir un mitjà tan lesiu per als drets (per exemple, fent servir targetes magnètiques i estalviant-se així d’haver de recollir i conservar dades biomètriques). Per tant, caldrà que hi hagi sempre un judici de proporcionalitat i una justificació escrita dels motius que avalen l’ús de la dada biomètrica en comptes d’un altre mitjà menys lesiu; entre aquests motius, podríem fer referència, per exemple, a la comoditat i major seguretat que suposa el control biomètric en detriment dels altres.

El segon problema del control biomètric el trobem especialment en l’àmbit laboral, i és el que correspon a la base jurídica que el legitimaria. Sembla clar que el consentiment dels treballadors podria ser una causa vàlida, però no podem ignorar que aquest consentiment, com han reconegut ja diverses resolucions, planteja problemes de difícil solució: en concret, la idea que el treballador, sotmès al règim laboral, no presta el seu consentiment en condicions de llibertat; a la qual cosa hem d’afegir la dubtosa operativitat que suposa un sistema basat en un consentiment revocable en qualsevol moment. A més, hem de tenir present que el consentiment no és la bala de plata que salva totes les situacions: si el tractament no està justificat, si no és proporcionat, encara que tinguem el consentiment del treballador, no serà legítim. Per això, en desestimar el consentiment, es planteja que l’interès legítim de l’organització podria ser la causa que avalaria el tractament de dades biomètriques en la implementació d’un control d’accés. Com sempre, cal fer sempre un judici de ponderació, però en tot cas, a la llum de recents resolucions d’autoritats europees de protecció de dades, sembla que una base legal general (l’interès legítim) podria justificar fins i tot el tractament de dades de categoria especial, com l’empremta digital.

És habitual que la tecnologia corri més que les lleis, però en casos com el de l’empremta digital, que ja trobem a tot arreu on anem, és urgent que la llei es posi les piles. Per tant, fins que no tinguem un criteri clar i unificat per part de les autoritats de control, caldrà que dediquem tota la nostra saviesa, prudència i atenció a l’ús de l’empremta digital.