Hace algún tiempo se viene convirtiendo en habitual que las empresas instalen dispositivos biométricos para de control de presencia con fines de seguridad y control laboral, y/o para control horario de jornada. Sin embargo, que sea habitual no lo convierte en lícito.

Los sistemas biométricos en ámbito laboral «podrían» considerarse lícitos si se basan en un consentimiento que ofrezca una alternativa, y siempre que se justifique que esta alternativa no es equivalente a la del control biométrico, es decir, que la finalidad que se pretende no se logra con la misma seguridad o de la misma manera.

Pero defender esta postura no está siendo nada fácil, y en este artículo vamos a explicarte por qué.

Primeramente debes saber que la Agencia Española de Protección de Datos (en adelante AEPD), publicó una nueva Guía donde analiza los criterios para el tratamiento de datos derivados del control de presencia mediante sistemas biométricos de acuerdo con el Reglamento (UE) 2016/679 (en adelante RGPD). Estos criterios rompen con la opinión mantenida hasta este momento por esta autoridad de control y limitan considerablemente, hasta casi prohibirlos, el uso de datos biométricos por parte de las empresas para fines de control de presencia o control horario de jornada. Esto supone un cambio de criterio importante respecto a la anterior opinión de esta Autoridad.

¿Qué son los datos biométricos?

El RGPD define datos biométricos como: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. En la definición se establece que son datos biométricos todos aquellos que permitan la identificación o autenticación de una persona.

¿Qué criterio siguen el Comité Europeo de Protección de Datos y la AEPD?

El Comité Europeo de Protección de Datos (EDPB por sus siglas en inglés) y el Supervisor Europeo de Protección de Datos (por sus siglas en inglés, EDPS) han pedido su prohibición general (estos casos pueden verse en la Opinión conjunta del EDPB y el EDPS sobre la propuesta de Ley de Inteligencia Artificial). Para ello recuerdan que hay ciertos casos de uso de tecnologías de reconocimiento facial o dactilar que plantean riesgos inaceptablemente elevados para los individuos y la sociedad (las llamadas «líneas rojas»).

El Comité Europeo en el mes de abril de 2023 actualizó su Guía de reconocimiento facial en el ámbito de aplicación de la ley, con el fin de proporcionar unas directrices a los legisladores y a las autoridades de los Estados miembros sobre estas tecnologías de reconocimiento facial, sobre la base de un criterio “restrictivo” para el tratamiento de datos biométricos partiendo de la premisa general de que: el tratamiento de datos biométricos constituye en cualquier circunstancia una intromisión grave en sí misma.

La Agencia de Protección de Datos, por su parte, mantuvo en 2020 un criterio laxo, permitiendo en determinados casos considerar lícito el tratamiento de datos biométricos, según se tratase de un sistema de identificación o autenticación de datos.

Pero, donde dije digo, digo Diego…¿Qué dice ahora la AEPD?

Con esta guía la AEPD ha cambiado su posición, para seguir la dirección establecida por el Tribunal de justicia de la UE, y el EDPB, pasando a considerar el tratamiento de datos biométricos “un tratamiento de alto riesgo de categorías especiales de datos”. Esta Autoridad apunta que poder tratar esas categorías es necesario la concurrencia de una circunstancia que levante la prohibición de su tratamiento recogida en el artículo 9 del RGPD y de una condición que lo legitime.

Pero, y entonces ¿Qué condiciones pueden legitimar el tratamiento de datos biométricos para fines laborales?

1. Sobre la posibilidad de legitimarlo en el cumplimiento de obligaciones legales: No es posible legitimar el uso del sistemas biométricos para fines de control horario o de presencia en el «cumplimiento de obligaciones legales» ya que, según argumenta AEPD, para ello debería existir una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad. Sin embargo, “en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo». Si se incluyera esta autorización específica en el Convenio Colectivo aplicable, cabría la posibilidad de defender que dicho Convenio legitima su utilización. No obstante, recordemos que los convenios colectivos no son «norma con rango de ley», por lo que, aunque defendible, no parece la opción idónea.
2. Sobre la posibilidad de legitimarlo en la ejecución de un contrato: Esto tampoco es posible, ya que los datos biométricos son considerados categorías especiales de datos las que solo pueden tratarse de acuerdo con las bases legitimadoras del artículo 9 del RGPD, entre las cuales no está incluida la ejecución de un contrato, ya sea laboral o de otro tipo.
3. Sobre la posibilidad de legitimarlo en el consentimiento: El consentimiento sí es una base de legitimación reconocida para el tratamiento de datos de categorías especiales como es el caso de la biometría, de acuerdo con el artículo 9 del RGPD. Sin embargo, cuando el consentimiento se otorga en el marco de una relación laboral, es decir, entre empleado y empleador, éste podría verse afectado por el desequilibrio entre ambas partes y considerarse que no es un consentimiento «libre». Para que el consentimiento sea libre en ámbito laboral, debe darse al trabajador una alternativa al tratamiento de los datos biométricos, de forma tal que éste pueda elegir, por ejemplo, entre el uso del sistema biométrico para control horario o el de tarjetas. Ahora bien, la AEPD entiende que si se ofrece una alternativa «equivalente» como es el caso del sistema de tarjetas, el tratamiento de datos biométricos deja de ser necesario y se incumple el principio de minimización. Esto parece un trabalenguas, pero es así.

Dicho lo anterior, podría considerarse lícito el uso del sistema biométrico para fines de control horario o de presencia en ámbito laboral, si previa evaluación de impacto, se justifica que la alternativa que se ofrece al trabajador No es equivalente al sistema biométrico, por ejemplo, porque no permite identificar de manera unívoca a la persona, arroja un gran numero de errores o da la posibilidad de fraudes.

Si una empresa desea usar datos biométricos para los fines mencionados, deberá justificar documentalmente que el empleo de otros sistemas existentes (y menos invasivos) como tarjetas, certificados, claves, sistemas contact-less, etc. que evitan el tratamiento de categorías especiales de datos biométricos no son adecuados o equivalentes para la finaldiad perseguida.

Además, deberán documentar un análisis objetivo de esta medida mediante la realización de:

1. Análisis de riesgos
2. Evaluación de Impacto
3. Test de proporcionalidad

Como se ha visto, aunque la AEPD no dice taxativamente en la guía que los sistemas biométricos en ámbito laboral son ilícitos, nos lo pone extremadamente difícil.

Si analizamos el importe de las multas del RGPD que podrían imponerse por casos de tratamiento de datos biométricos sin base legítima, al tratarse de datos de categoría especial y una grave intromisión a la privacidad como en el caso de la biometría, y sabiendo que pueden llegar a los 20 millones de euros, conviene plantearse lo antes posible la sustitución de este sistema biométrico por otro que permita a los responsables conciliar el sueño, o bien ponerse manos a la obra para documentar el motivo por el que hemos mantenido estos sistemas.

*Este artículo ha sido actualizado en dos ocasiones (última actualización 21/3/24), debido a los cambios de criterio de las Autoridades de Control respecto al uso de la biometría.

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-una-guia-sobre-la-utilizacion-de-datos