5.95. Control de acceso por reconocimiento de huella dactilar
Descripción de la actividad
Tratamiento de datos de los empleados de la AEAT, incluidos colaboradores y empresas externas para el control horario y de facturación.
Mantenimiento de la Seguridad en las sedes de la AEAT mediante el control de accesos a los edificios que la AEAT comparte con otro personal.
Finalidad
Gestión de los empleados, destinados en la AEAT, al objeto de poder realizar actuaciones de control del cumplimiento de las obligaciones del personal a su servicio.
Garantizar la seguridad de personas, bienes e instalaciones.
Legitimación
En cuanto al control horario y de facturación del personal al servicio de la AEAT, el artículo 6 del Reglamento 2016/679 (UE), relativo a la licitud del tratamiento, en su apartado 1, letra b) señala que “El tratamiento será lícito si se cumple al menos una de las siguientes condiciones: (…) b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales (…)”.
En virtud de este precepto, el tratamiento de datos es lícito, y no requerirá consentimiento, cuando el tratamiento de datos se realice para el cumplimiento de relaciones contractuales de carácter laboral.
Este precepto daría cobertura también al tratamiento de datos de los empleados públicos, aunque su relación no sea contractual en sentido estricto.
En ambos casos, la AEAT realiza un tratamiento de la huella dactilar a la que se refiere el Reglamento de la UE, en su artículo 9, como “categorías especiales de datos”.
Así, el artículo 9.1 del citado Reglamento señala que “Quedan prohibidos el tratamiento de datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física”.
No obstante, en el apartado 2, se establecen una serie de excepciones en las que tales datos podrán ser tratados. En concreto la letra b) de este apartado 2 indica lo siguiente: “El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: (…) b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (…)”.
En cuanto a garantizar la seguridad en el control de acceso a los edificios por personal que desempeñe sus funciones en los edificios de la AEAT, en el artículo 32 “Vigilantes de seguridad y su especialidad” de la Ley 5/2014 de Seguridad Privada, se establece que:
“1. Los vigilantes de seguridad desempeñarán las siguientes funciones:
a) Ejercer la vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto privados como públicos, así como la protección de las personas que puedan encontrarse en los mismos, llevando a cabo las comprobaciones, registros y prevenciones necesarias para el cumplimiento de su misión.
b) Efectuar controles de identidad, de objetos personales, paquetería, mercancías o vehículos, incluido el interior de éstos, en el acceso o en el interior de inmuebles o propiedades donde presten servicio, sin que, en ningún caso, puedan retener la documentación personal, pero sí impedir el acceso a dichos inmuebles o propiedades. La negativa a exhibir la identificación o a permitir el control de los objetos personales, de paquetería, mercancía o del vehículo facultará para impedir a los particulares el acceso o para ordenarles el abandono del inmueble o propiedad objeto de su protección.”
Según esto, y de acuerdo con lo que establece el artículo 6.1.f del Reglamento, no es necesario el consentimiento de los interesados, pues el art. 51 de la Ley 4/2014 reconoce el derecho a “dotarse de medidas de seguridad privada dirigidas a la protección de personas y bienes y al aseguramiento del normal desarrollo de sus actividades personales o empresariales”.
Interesados
- Personal al servicio de la AEAT y cualquier otro empleado, público o privado, que desempeña sus funciones en edificios de la AEAT.
Datos
- DNI, Nombre y Apellidos
- Datos biométricos (minucias huella dactilar, a partir de las cuales no se puede reconstruir la huella)
Tratamientos
- Recogida
- Registro
- Almacenamiento
- Estructuración
- Modificación
- Actualización
- Copia
- Análisis
- Consulta
- Extracción
- Difusión
- Interconexión
- Limitación
- Supresión
- Destrucción
- Otros
Destinatarios
No se prevén.
Transferencias internacionales
No se prevén
Plazos previstos para la supresión
Con periodicidad mensual, se realizará el borrado de las minucias de las huellas dactilares de los interesados que hayan producido baja en la aplicación de control de acceso.
Elaboración de perfiles
No aplica.
Medidas técnicas/organizativas
Todos los datos tratados han sido evaluados a través de un análisis de riesgos, habiendo obtenido la relación de medidas técnicas y organizativas a aplicar. Dichas medidas han sido aplicadas de acuerdo al Plan de adecuación aprobado.
Es importante tener en cuenta que:
- En el proceso de registro de las huellas solo se guardan unas minucias o trazas que permiten comparar con la huella del empleado en el momento de realizar el control de acceso. En ningún momento se registra la huella completa y a partir de estas minucias es imposible reproducir la imagen original de la huella dactilar.
- Estas minucias se almacenan cifradas de forma que solo es posible su lectura en los equipos que forman parte de la solución de control de acceso implantada en la Agencia Tributaria.
- Se ha realizado una Evaluación de Impacto en los términos del art. 35 del RGPD, que se ha aportado a la Agencia Española de Protección de Datos
Dichas medidas han sido aplicadas de acuerdo al Plan de adecuación aprobado.