El dictamen del Consejo de Transparencia y Protección de Datos de Andalucía relativo a la legitimidad de los sistemas de reconocimiento facial o huella dactilar apara el control horario, se centra en la importancia de analizar la licitud, necesidad y proporcionalidad en el establecimiento de un sistema de control horario que funcione a partir del tratamiento de datos biométricos.
Pese a la interpretación que se realiza por parte de la AEPD del Reglamento General de Protección de Datos (RGPD) acerca de la prohibición del tratamiento de datos biométricos con la finalidad de llevar a cabo un control horario, algunas autoridades autonómicas de protección de datos se posicionan en sentido contrario.
Así pues, el dictamen de la autoridad andaluza hace a la posibilidad de obtener del consentimiento como base de legitimación para el tratamiento de datos descrito. Esto siempre y cuando, con carácter previo, el sistema sea “esencial” para satisfacer la necesidad planteada, y no sólo “lo más adecuado o rentable”. Otro destacado factor a tener en cuenta es la “eficacia” del sistema que se pretende desarrollar, de modo que habrá que estudiar las características específicas de la tecnología biométrica a utilizar”.
Además, deberá tenerse en cuenta la proporcionalidad de los beneficios esperados cumpliendo en cualquier caso con el deber de información y el principio de limitación. Algunas de las recomendaciones para llevar a cabo dicho tratamiento que enumera el Consejo son: que los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible, que el sistema biométrico utilizado deberá emplear mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos y que el responsable del tratamiento deberá realizar una evaluación de impacto relativa a la protección de datos establecida en el RGPD con carácter previo a la puesta en funcionamiento del sistema biométrico.