La Agencia Española de Protección de Datos (AEPD) ha publicado una guía sobre el uso de sistemas biométricos para el control de presencia y acceso, analizando si un sistema de reconocimiento de huella dactilar para fichar la entrada o salida del trabajo incumple las premisas de la normativa sobre protección de datos.
Como ya sabrá, el control de presencia es un tratamiento de datos que se realiza con una finalidad concreta: registrar la jornada, controlar el acceso, entre otros motivos. Pero este tratamiento siempre debe cumplir con la normativa de protección de datos y con los principios, derechos y obligaciones que se establecen en la normativa de protección de datos
La normativa laboral (artículo 20.3 del Estatuto de los Trabajadores) indica que «El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Atendiendo a esta norma parece que sería posible usar el registro de jornada por huella dactilar de forma legal. No obstante:
- El art. 9 del Reglamento General de Protección de Datos (RGPD) regula el tratamiento de categorías especiales de datos, entre los que se encuentran los datos biométricos, estableciendo una prohibición general de su tratamiento en los siguientes términos: «Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física».
¿Qué se consideran datos biométricos? Se consideran datos biométricos los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
La normativa sobre protección de datos incluye los sistemas de identificación por huella dactilar y datos biométricos como «categoría especial, diferenciando los conceptos de identificación y autenticación en función de cada caso concreto y de las particulares técnicas empleadas en relación con la finalidad perseguida por el tratamiento, así como la necesidad de otorgar la máxima protección a los derechos de los afectados frente al uso de técnicas que puede ser más invasivas para su privacidad y generar mayores riesgos para sus derechos y libertades.
Con relación al tratamiento en el ámbito del Derecho laboral y de la seguridad y protección social exige que exista una habilitación legal -o convenio colectivo-, y además impone el requisito de que el tratamiento sea «necesario».
Actualmente la normativa no contiene autorización suficientemente específica para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo.
¿Qué dice la Agencia Española de Protección de Datos (AEPD)?
El uso de datos biométricos para la identificación de las personas en el entorno laboral todavía sigue suscitando dudas por lo que la AEPD ha publicado el pasado 23 de noviembre de 2023, de la «Guía tratamientos de control de presencia mediante sistemas biométricos», un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el RGPD entre otras normativas.
La Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Tal y como establece el RGPD, para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad. La Agencia especifica que, en el marco de estos tratamientos, el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (artículo 35.7.b).
La Guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de modo similar.
En todo caso, la Guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en la que, entre otros aspectos, se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.
Por último, la Agencia también añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
Fuente: AEPD
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,