Hace algún tiempo se viene convirtiendo en habitual que las empresas instalen dispositivos biométricos para de control de presencia con fines de seguridad y control laboral, y/o para control horario de jornada. Sin embargo, que sea habitual no lo convierte en lícito.

 

La Agencia Española de Protección de Datos (en adelante AEPD), ha publicado una nueva Guía donde analiza los criterios para el tratamiento de datos derivados del control de presencia mediante sistemas biométricos de acuerdo con el Reglamento (UE) 2016/679 (en adelante RGPD). Estos criterios rompen con la opinión mantenida hasta este momento por esta autoridad de control y limitan considerablemente, hasta prohibirlos, el uso de datos biométricos por parte de las empresas para fines de control de presencia o control horario de jornada.

 

¿Qué son los datos biométricos?

 

El RGPD define datos biométricos como: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. En la definición se establece que son datos biométricos todos aquellos que permitan la identificación o autenticación de una persona.

 

¿Qué criterio siguen el Comité Europeo de Protección de Datos y la AEPD?

 

El Comité Europeo de Protección de Datos (EDPB por sus siglas en inglés) y el Supervisor Europeo de Protección de Datos (por sus siglas en inglés, EDPS) han pedido su prohibición general (estos casos pueden verse en la Opinión conjunta del EDPB y el EDPS sobre la propuesta de Ley de Inteligencia Artificial). Para ello recuerdan que hay ciertos casos de uso de tecnologías de reconocimiento facial o dactilar que plantean riesgos inaceptablemente elevados para los individuos y la sociedad (las llamadas «líneas rojas»).

 

El Comité Europeo en el mes de abril de 2023 actualizó su Guía de reconocimiento facial en el ámbito de aplicación de la ley, con el fin de proporcionar unas directrices a los legisladores y a las autoridades de los Estados miembros sobre estas tecnologías de reconocimiento facial, sobre la base de un criterio “restrictivo” para el tratamiento de datos biométricos partiendo de la premisa general de que: el tratamiento de datos biométricos constituye en cualquier circunstancia una intromisión grave en sí misma.

 

La Agencia de Protección de Datos, por su parte, mantuvo en 2020 un criterio laxo, permitiendo en determinados casos considerar lícito el tratamiento de datos biométricos, según se tratase de un sistema de identificación o autenticación de datos.

 

Pero, donde dije digo, digo Diego…

 

Ahora la AEPD ha cambiado su posición, para seguir la dirección establecida por el Tribunal de justicia de la UE, y el EDPB, pasando a considerar el tratamiento de datos biométricos “un tratamiento de alto riesgo de categorías especiales de datos”. Esta Autoridad apunta que poder tratar esas categorías es necesario la concurrencia de una circunstancia que levante la prohibición de su tratamiento recogida en el artículo 9 del RGPD y de una condición que lo legitime.

 

Pero, y entonces ¿Qué condiciones pueden legitimar el tratamiento de datos biométricos para fines laborales?

 

Según la AEPD, para el control de presencia en el ámbito laboral (que incluye tanto la función de registro de jornada como la de control de acceso con fines laborales) mediante técnicas biométricas, las empresas deben contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad.

 

Téngase en cuenta como apunta la AEPD, que “en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. La autorización suficientemente específica no se encuentra para el personal laboral, puesto que el Estatuto de los Trabajadores, no contienen tal autorización”.

 

La AEPD aclara que, contrario a lo que defendió años atrás, NO son circunstancias que sirvan de base legítima al uso de datos biométricos para control de presencia, las siguientes:

  • el consentimiento de las personas interesadas
  • la ejecución del contrato de trabajo o relación de empleo público.

 

¿Qué debo hacer si quiero mantener el sistema biométrico implantado con fines laborales?

 

Si una empresa quiere usar datos biométricos para los fines mencionados, deberá justificar por qué no es posible utilizar los sistemas de registro de presencia que se estaban empleando en la empresa hasta ese momento, si fuera el caso, o aquellos que se están empleando en entidades equivalentes, que resultan menos invasivos a la privacidad de los trabajadores. Además, deberá justificar que el empleo de otros sistemas existentes como tarjetas, certificados, claves, sistemas contact-less, etc. que evitan el tratamiento de categorías especiales de datos biométricos no son adecuados.

 

Conclusiones

 

Por dejarlo más claro, si queda alguna duda después de revisar la mencionada Guía de la AEPD, en la actualidad NO existe, al menos en España, una legitimación suficiente que nos permita tratar lícitamente datos biométricos para fines laborales ya sea de control de presencia o control horario de jornada.

 

Esta guía y el evidente cambio de criterio van a impactar sobre innumerables entidades que se verán forzadas a sustituir sus sistemas biométricos por otros menos invasivos a la privacidad.

 

Si analizamos el importe de las multas del RGPD que podrían imponerse por casos de tratamiento de datos biométricos sin base legítima, al tratarse de datos de categoría especial y una grave intromisión a la privacidad como en el caso de la biometría, y sabiendo que pueden llegar a los 20 millones de euros, conviene plantearse lo antes posible la sustitución de este sistema biométrico por otro que permita a los responsables conciliar el sueño.

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-una-guia-sobre-la-utilizacion-de-datos

Pin It on Pinterest

Share This