En el mismo sentido, parece que igualmente se pronuncia el Considerando 51 del RGPD al señalar que «El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física».

En su Resolución E07273-2020  de archivo de actuaciones la AEPD pone de manifiesto que, al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos, puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, de forma que:

La identificación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

La verificación/autenticación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

Sistemas basados en datos biométricos

 No obstante, aunque según la AEPD es innegable la posibilidad de utilización de sistemas basados en datos biométricos para llevar a cabo el control de acceso y horario, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo y teniendo en cuenta sus implicaciones, es preceptivo llevar a cabo el cumplimiento de las siguientes obligaciones por parte de la entidad responsable:

-Establecer el Registro de Actividades de Tratamiento.

-Llevar a cabo una Evaluación de Impacto relativa a la protección de datos de carácter personal para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos de conformidad con lo señalado en el artículo 35 RGPD.

–Informar al empleado sobre estos tratamientos en los términos del artículo 13 del RGPD.

–Deben respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.

–Verificar que el tratamiento es adecuado, pertinente y no excesivo en relación con la finalidad de control de acceso y control horario. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos (Dictamen 3/2012 del Grupo de Trabajo del art. 29).

–Los datos biométricos deben ser almacenados como plantillas biométricas siempre que sea posible. La plantilla debe extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.

-El sistema biométrico utilizado y las medidas de seguridad elegidas deben asegurar que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.

-Deben utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.

-Los sistemas biométricos deben diseñarse de modo que se pueda revocar el vínculo de identidad.

-Debe optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.

Y finalmente, los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.

Con todas estas garantías, podrá acreditarse que la actuación del responsable en relación con el tratamiento de datos biométricos para control de acceso y horario de su personal, es acorde con la normativa sobre protección de datos personales.