Lara Pérez-Viana Martínez
Laboral y Seguridad Social
El uso de los datos biométricos de los trabajadores para acceder a las instalaciones o para registrar su jornada de trabajo es una cuestión que está a la orden del día, gracias a la reciente publicación del pasado 23 de noviembre del 2023, por parte de la Agencia Española de Protección de Datos (AEPD), de la Guía “Tratamientos de control de presencia mediante sistemas biométricos”. Dicha guía es un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, todo ello en base a una Directiva del Comité Europeo de Protección de Datos.
No podemos obviar que este asunto que ha dado varios vaivenes en España a lo largo de los años, con cambios drásticos en los criterios aplicables, generando una gran inseguridad jurídica para las Empresas, llegando algunas a ser sancionadas.
Tras varias idas y venidas, finalmente el Comité Europeo de Protección de Datos ha hecho pública una directriz que limita el uso de la huella digital como método de registro de jornada laboral en empresas, obligando a la AEPD a cambiar su criterio y a ajustar su normativa al respecto para adecuarse a los procedimientos europeos.
Concretamente, el Comité Europeo de Protección de Datos Personales ha terminado por declarar que la huella dactilar en el registro horario empresarial vulnera, en el actual marco normativo, la protección de datos personales del trabajador.
Así, la mencionada Guía de la AEPD, que analiza directamente el uso de huellas dactilares en registros horarios, declara esta vulneración, partiendo de la base de categoría especial de estos datos. En este sentido, las conclusiones que extrae la Agencia Española de Protección de Datos en su Guía son varias:
En primer lugar, la utilización de tecnologías biométricas de identificación y autentificación en el control de presencia supone un tratamiento de alto riesgo que incluye categorías especiales de datos.
Asimismo, en la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y protección de datos desde el diseño y, por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menores datos adicionales.
Por último, es necesario que exista una circunstancia para levantar la prohibición de tratar las categorías especiales de datos y, además, una condición que legitime el tratamiento:
- – En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2 b) RPD, el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar los datos biométricos para dicha finalidad, que no se encuentra en la normativa actual española.
- – Igualmente, en el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición de tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento.
- – Para el caso de control de acceso fuera del ámbito laboral, el consentimiento tampoco lo podrá ser, al resultar un tratamiento de alto riesgo y que tendría que superar el requisito de necesidad establecido para dichos tratamientos.
Por ende, en el tratamiento de control de presencia no se pueden tomar decisiones automatizadas sin intervención humana que tengan efectos sobre el interesado, si no se cumple la circunstancia de un interés público esencial basado en una norma con rango de ley, proporcional al objetivo perseguido, que respete en lo esencial el derecho de protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
Dicho lo cual, será obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación del Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.
En resumen, la AEPD entiende que, si se ofrece un medio equivalente para el control de acceso, el tratamiento de datos biométricos deja de ser necesario para la implementación del tratamiento y, por tanto, no se estaría cumpliendo con el principio de minimización de datos.
En este sentido, para poder basar el tratamiento de los datos biométricos en estas bases de legitimación “especiales”, la empresa debe poder acreditar objetivamente que dichos sistemas de tratamiento son necesarios e idóneos, para lo que se deberá realizar:
- – Un análisis de riesgos
- – Una evaluación de impacto.
- – Un test de idoneidad, necesidad y proporcionalidad.
En definitiva, la normativa no implica un fin definitivo del uso de datos biométricos en el trabajo, sino que establece un marco más riguroso para su uso. Se requiere una justificación sólida para su aplicación, garantizando que se priorice la privacidad y seguridad de los datos de los empleados y, en caso de no obtener una evaluación de impacto favorable, se consideren alternativas menos intrusivas.
Es importante destacar que las empresas que emplean sistemas biométricos para el control horario y no han realizado una evaluación de impacto, o han obtenido resultados desfavorables en dicha evaluación pero continúan usando estos sistemas, podrían afrontar sanciones económicas considerables, así como indemnizaciones derivadas de una intromisión en la intimidad del trabajador.
En esta nueva coyuntura, las empresas tienen como alternativas de uso los sistemas basados en tarjetas o dispositivos de proximidad o por las aplicaciones móviles con tarjetas virtuales a través de Bluetooth o NFC, debido a que ofrecen métodos de identificación eficientes para evitar los posibles riesgos asociados con el tratamiento de datos biométricos.
Consecuentemente con todo lo anterior, la entrada en vigor de este nuevo criterio parece que va a abocar a las empresas a eliminar el uso de este tipo de tecnologías para el registro horario, debido a las altas restricciones aplicadas y a las caras consecuencias económicas en las que pueden incurrir por su mal uso, temiendo que ello implique el fin de la huella dactilar y del reconocimiento facial para fichar.
