5.95. Control de acceso por recoñecemento de pegada dactilar
Descrición da actividade
Tratamento de datos dos empregados da AEAT, incluídos colaboradores e empresas externas para o control horario e de facturación.
Mantemento da Seguridade nas sedes da AEAT mediante o control de accesos aos edificios que a AEAT comparte con outro persoal.
Finalidade
Xestión dos empregados, destinados na AEAT, ao obxecto de poder realizar actuacións de control do cumprimento das obrigas do persoal ao seu servizo.
Garantir a seguridade de persoas, bens e instalacións.
Lexitimación
No referente ao control horario e de facturación do persoal ao servizo da AEAT, o artigo 6 do Regulamento 2016/679 (UE), relativo á licitude do tratamento, no seu apartado 1, letra b) sinala que “O tratamento será lícito se se cumpre polo menos unha das seguintes condicións: (…) b) o tratamento cómpre para a execución dun contrato en que o interesado é parte ou para a aplicación a petición deste de medidas contractuais (…)”.
En virtude deste precepto, o tratamento de datos é lícito, e non requirirá consentimento, cando o tratamento de datos se realice para o cumprimento de relacións contractuais de carácter laboral.
Este precepto daría cobertura tamén ao tratamento de datos dos empregados públicos, aínda que a súa relación non sexa contractual en sentido estrito.
En ambos os dous casos, a AEAT realiza un tratamento da pegada dactilar á que se refire o Regulamento da UE, no seu artigo 9, como “categorías especiais de datos”.
Así, o artigo 9.1 do citado Regulamento sinala que “Quedan prohibidos o tratamento de datos que revelen a orixe étnica ou racial, as opinións políticas, as conviccións relixiosas ou filosóficas, ou a afiliación sindical, e o tratamento de datos xenéticos, datos biométricos dirixidos a identificar de maneira unívoca a unha persoa física, datos relativos á saúde ou datos relativos á vida sexual ou as orientacións sexuais dunha persoa física”.
Non obstante, no apartado 2, establécense unha serie de excepcións en que tales datos poderán ser tratados. En concreto a letra b) deste apartado 2 indica o seguinte: “O apartado 1 non será de aplicación cando concorra unha das circunstancias seguintes: (…) b) o tratamento cómpre para o cumprimento de obrigas e o exercicio de dereitos específicos do responsable do tratamento ou do interesado no ámbito do Dereito laboral e da seguridade e protección social (…)”.
No referente a garantir a seguridade no control de acceso aos edificios por persoal que desempeñe as súas funcións nos edificios da AEAT, no artigo 32 “Vixiantes de seguridade e a súa especialidade” da Lei 5/2014 de Seguridade Privada, establécese que:
“1. Os vixiantes de seguridade desempeñarán as seguintes funcións:
a) Exercer a vixilancia e protección de bens, establecementos, lugares e eventos, tanto privados coma públicos, así como a protección das persoas que poidan encontrarse nos mesmos, levando a cabo as comprobacións, rexistros e prevencións necesarias para o cumprimento da súa misión.
b) Efectuar controis de identidade, de obxectos persoais, paquetaría, mercadorías ou vehículos, incluído o interior destes , no acceso ou no interior de inmobles ou propiedades onde presten servizo, sen que, en ningún caso, poidan reter a documentación persoal, pero si impedir o acceso aos devanditos inmobles ou propiedades. A negativa que hai que exhibir a identificación ou a permitir o control dos obxectos persoais, de paquetaría, mercadoría ou do vehículo facultará para impedir aos particulares o acceso ou para ordenarlles o abandono do inmoble ou propiedade obxecto da súa protección.”
Segundo isto, e de acordo co que establece o artigo 6.1.f do Regulamento, non cómpre o consentimento dos interesados, pois o art. 51 da Lei 4/2014 recoñece o dereito a “dotarse de medidas de seguridade privada dirixidas á protección de persoas e bens e ao aseguramento do normal desenvolvemento das súas actividades persoais ou empresariais”.
Interesados
- Persoal ao servizo da AEAT e calquera outro empregado, público ou privado, que desempeña as súas funcións en edificios da AEAT.
Datos
- DNI, Nome e Apelidos
- Datos biométricos (minucias pegada dactilar, a partir das que non se pode reconstruír a pegada)
Tratamentos
- Recollida
- Rexistro
- Almacenaxe
- Estruturación
- Modificación
- Actualización
- Copia
- Análise
- Consulta
- Extracción
- Difusión
- Interconexión
- Limitación
- Supresión
- Destrución
- Outros
Destinatarios
Non se prevén.
Transferencias internacionais
Non se prevén
Elaboración de perfís
Non aplica.
Medidas técnicas/organizativas
Todos os datos tratados foron avaliados a través dunha análise de riscos, obtendo a relación de medidas técnicas e organizativas a aplicar. As devanditas medidas foron aplicadas de acordo co Plan de adecuación aprobado.
É importante ter en conta que:
- No proceso de rexistro das pegadas soas gárdanse unhas minucias ou trazas que permiten comparar coa pegada do empregado no momento de realizar o control de acceso. En ningún momento rexístrase a pegada completa e a partir destas minucias é imposible reproducir a imaxe orixinal da pegada dactilar.
- Estas minucias almacénanse cifradas de xeito que só é posible a súa lectura nos equipos que forman parte da solución de control de acceso implantado na Axencia Tributaria.
- Realizouse unha Avaliación de Impacto nos termos do art. 35 do RGPD , que se achegou á Axencia Española de Protección de Datos
As devanditas medidas foron aplicadas de acordo co Plan de adecuación aprobado.