Requisitos de la Agencia Española de Protección de Datos (AEPD) en relación con el uso de datos biométricos (huella dactilar) para el registro de jornada:
1. La Evaluación de Impacto de Protección de Datos (EIPD) aparece desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) como una nueva herramienta exigible al responsable de tratamientos de “alto riesgo”, considerándose el tratamiento de datos biométricos como de alto riesgo y consta entre los tratamientos incluidos en el documento “Listas de tipos de tratamiento de datos que requieren evaluación de impacto relativa a protección de datos” publicado por la AEPD.
2. No basta con realizar formalmente una EIPD, sino que para que la obligación se entienda cumplida debe garantizarse que la misma contenga un análisis sólido y exhaustivo del tratamiento previsto, de los riesgos que el mismo puede implicar y de las medidas que se consideren convenientes para evitarlos o, al menos, minimizarlos, y todo ello con carácter previo al tratamiento, de tal manera que las conclusiones de la EIPD puedan tenerse en cuenta en su diseño, cumpliendo así el principio de protección de datos desde el diseño y por defecto que contempla el artículo 25 RGPD.
3. Si existen otros sistemas no biométricos que permitan conseguir la misma finalidad de identificar-verificar la identidad de las personas con eficacia, no será necesario iniciar tratamientos biométricos, y, por tanto, implantar este sistema se considerará contrario al RGPD.
En definitiva, este triple juicio debe ser el punto de partida del análisis, pues sólo en los casos en los que los métodos basados en el uso de datos biométricos lo superen se exigirá el cumplimiento de otros requisitos o garantías. En definitiva, el tratamiento de datos biométricos nunca podrá iniciarse de no haberse elaborado con carácter previo una EIPD válida.