¿SON LÍCITOS LOS SISTEMAS BIOMÉTRICOS PARA CONTROL HORARIO?
El uso de datos biométricos en el ámbito laboral es cada vez más habitual. Con la entrada en vigor del Real Decreto-ley 8/2019, de 8 de marzo las empresas se vieron obligadas a establecer un sistema de control horario de jornada. Muchos responsables acudieron a los sistemas de reconocimiento facial y huella dactilar para cumplir esta obligación. Sin embargo, que sea habitual no lo convierte en lícito.
Es preciso evaluar el tipo de sistema utilizado de acuerdo con su finalidad para poder determinar el camino de licitud que debe seguir. Deberá evaluarse si este sistema cumple con los principios de protección de datos, en particular, si los datos son adecuados, pertinentes y limitados a fines del tratamiento. No debe olvidarse que el uso de datos biométricos constituye, por defecto, un tipo de tratamiento altamente invasivo a la privacidad.
Existe una división de criterios entre autoridades de protección de datos en cuanto a la licitud de estos sistemas. Las Directrices 05/2022 elaboradas por el Comité Europeo de Protección de Datos (CEPD), organismo que representa conjuntamente a todas las autoridades de control europeas, si bien no hace imposible la utilización de estos sistemas biométricos, sí dificulta su implantación en términos legales.
¿LOS DATOS BIOMÉTRICOS SON CATEGORÍAS ESPECIALES, O NO?
De acuerdo con el Reglamento General de Protección de Datos (RGPD) son datos biométricos los «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».
El RGPD además califica los datos biométricos como datos de «categoría especial» siempre que estén «dirigidos a identificar de manera unívoca a una persona física». En este punto existe una importante controversia, ya que la Agencia de Protección de Datos (AEPD) hizo, a raíz de una resolución de marzo de 2021, una distinción entre el uso de datos biométricos con fines de «identificación» y «autenticación», tal y como se expone a continuación:
Identificación biométrica: Proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
Autenticación biométrica: Proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
La AEPD considera que «los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios,) y no en el caso de verificación/autenticación biométrica (uno-a-uno)». El criterio de la AEPD sirvió en su momento para que las tecnologías biométricas (de autenticación uno-a-uno) escaparan del concepto de categoría especial, algo que flexibiliza enormemente el uso del dato biométrico. Esto es así porque el régimen del RGPD para tratar datos de categoría especial impone una prohibición general de tratamiento de este tipo de datos, que únicamente quedará levantada en supuestos tasados, algo que frena el uso de datos biométricos.
A fecha de este artículo, podemos decir que las autoridades de control parecen haber cambiado forzosamente de parecer y seguir un criterio más restrictivo, ya que las últimas Directrices de 05/2022, el CEPD ha declarado expresamente: «Si bien ambas funciones -autenticación e identificación- son distintas, ambas se refieren al tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de datos personales.»
*Esto significa que el CEPD sí considera a cualquier dato biométrico como categoría especial.
¿EL CONSENTIMIENTO PODRÍA SER LA BASE DE LEGITIMACIÓN?
Si consideramos como indica el CEPD a los datos biométricos como categorías especiales, únicamente dos de las excepciones previstas en el RGPD podrían resultar aplicables para que el sistema sea lícito en el ámbito de protección de datos:
- Consentimiento explícito del trabajador para el uso de sus datos biométricos o;
- Considerar que el tratamiento es necesario para cumplir obligaciones de derecho laboral, siempre que esté expresamente autorizado por ley, en cuyo caso no sería necesario el consentimiento, bastando con informarle sobre el sistema que se va a implantar.
Muchas empresas han considerado que el uso de sistemas biométricos para el control horario quedaría amparado por la obligación legal de contar con un mecanismo efectivo de registro de. Sobre esta interpretación ya se pronunció la Autoridad de Protección de Datos de Cataluña en su Dictamen CNS 2/2022, quien desafortunadamente descartó este criterio al indicar: «Conviene tener en cuenta que la normativa no determina el mecanismo que se puede utilizar para registrar la jornada, ni prevé ninguna autorización para utilizar categorías especiales de datos, en concreto, de datos biométricos”
Es por ello que, desde el equipo de Umbra Abogados, primeramente, recomendamos acudir a un sistema menos invasivo, como puede ser el uso de tarjetas o códigos identificativos. Sin embargo, para los empresarios que están decididos a utilizar el sistema biométrico con fines de control horario o incluso de control de accesos, les recomendamos usar este sistema previo consentimiento libre del trabajador.
Tampoco es fácil garantizar que ese consentimiento se ha otorgado libremente, ya que se plantea que existe un claro desequilibro entre la posición de empleado y empleador, lo que podría atentar contra la manifestación libre de la voluntad de la parte débil de la relación, el trabajador. Es decir, que los trabajadores podrían sentirse presionados para decir que «sí aceptan» que se implante el sistema biométrico sin expresar libremente su voluntad ante el empresario.
Para lograr que este consentimiento sea lo más libre posible, podrían seguirse estas pautas:
- Que sea informado, claro, corto y con lenguaje adaptado al interesado, evitando lenguaje jurídico.
- Que ofrezca dos o más opciones, para que el trabajador elija. Por ejemplo: «el trabajador podrá optar por utilizar el sistema biométrico tal y como se explica disfrutando de las ventajas que ello conlleva, o bien pasar cada día por el departamento de administración para firmar a su llegada y a su salida, con el fin de controlar su entrada». En este ejemplo da dos opciones, una sencilla, rápida, que deberá ser técnicamente segura, y otra más tradicional que encarna menos riesgos. Lo que el trabajador decida lo hará en un libre ejercicio de su voluntad porque no está limitado a una única opción.
Sobra decir que el trabajador que elija el sistema tradicional tendrá los mismos derechos que el resto y no podrá sufrir ningún tipo de represalia debiéndosele facilitar el uso del sistema elegido.
El consentimiento no libera al Responsable de efectuar la preceptiva evaluación de impacto, ni de la obligación de elegir un sistema que garantice la confidencialidad, integridad y disponibilidad, en el que la afectación a la privacidad sea la mínima posible. No es lo mismo un sistema que almacena y compara las huellas íntegras, que uno que capta la huella y la convierte a una secuencia de números.
Tal y como lo ve el CEPD, quien prácticamente imposibilita el uso de sistemas biométricos con estos fines, va a ser difícil defenderse ante una denuncia. No obstante, si el empresario ha decidido usar este sistema, la vía del consentimiento libre (que ofrece dos o más opciones al trabajador) parece ser la que más se acerca al nivel de seguridad jurídica deseado.
Lilliam Valenzuela
Abogada Socia
Delegada Certificada en PD
