Índice
La Agencia Española de Protección de Datos (AEPD) ha publicado su Guía sobre tratamientos de control de presencia mediante sistemas biométricos en la que establece el criterio que define la posibilidad de hacer uso de los sistemas biométricos tanto para el registro y control horario como para el control de acceso.
Lo cierto es que los nuevos sistemas biométricos aumentan tanto el volumen de la información recogida y tratada, como el detalle de esta información, permitiendo incluso la posibilidad de recoger esa información sin la cooperación, o participación activa, de la persona interesada.
¿Qué son los sistemas biométricos?
Debemos establecer, como punto de partida para abordar la pertinencia de usar sistemas biométricos en el ámbito laboral, una definición clara de «dato biométrico», conforme al artículo 4.14 del Reglamento General de Protección de Datos:
Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Asimismo, también debemos entender que cuando hablamos de sistemas biométricos lo hacemos sobre un proceso que se basa en recoger y procesar datos personales relativos a las características físicas, fisiológicas o conductuales de las personas físicas.
Afrontaremos el uso de los sistemas biométricos en el terreno laboral atendiendo a dos escenarios:
- Registro de Jornada, amparado en el Real Decreto-Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
- Control de acceso con fines laborales, amparado en el artículo 20.3 del Estatuto de los Trabajadores, si bien la AEPD realiza un tercer enfoque, teniendo en cuenta la situación respecto del Control de acceso con otras finalidades distintas a las laborales.
Principio de minimización de datos
Tanto sobre estas situaciones, como para cualquier cuestión relacionada con la protección de los datos personales, resulta de aplicación el principio de minimización de datos, que establece (conforme al artículo 5.1.c del RGPD) que los datos deben ser «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados».
Como introducíamos al inicio, debemos prestar atención a este principio en la situación actual en la que nos encontramos en términos de desarrollo de sistemas biométricos que emplean Inteligencia Artificial dado que, desde un punto de vista laboral, las empresas han venido utilizando sistemas de control de presencia desde hace 30 o 40 años, sin la necesidad de la tecnología, mediante procedimientos menos intrusivos.
Por esto, parece sencillo comprender que (siempre en términos de protección de datos personales) no resulta necesario acceder a estos sistemas «modernos» o «inteligentes» que realizan tratamientos desmesurados para la necesidad específica de tratamiento.
En este sentido, estos sistemas biométricos, cada vez más disponibles y asequibles, realizan registros de datos con una precisión, detalle o frecuencia que superan las necesidades específicas para el tratamiento y, por tanto, quiebran el principio de minimización.
Lo anterior no implica que no podamos adaptarnos a los tiempos, en términos de uso de la tecnología, sino que se debe prestar atención a la necesidad real. De esta manera, el principio de minimización de datos debe aplicar desde el diseño (conforme al artículo 25.1 RGPD), esto es, que se deben adaptar las herramientas o sistemas biométricos en cuestión a la necesidad real para cumplir el fin del tratamiento, evitando los tratamientos innecesarios, y más cuando hablamos de categorías especiales de datos.
Sistemas biométricos y categorías especiales de datos
El artículo 9.1 del RGPD define las categorías especiales de datos como aquellos
…que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
Para la cuestión que nos ocupa, se considerará por tanto que estos sistemas biométricos llevan a cabo tratamientos de categorías especiales de datos, por cuanto de un sistema biométrico se obtienen rasgos como:
La voz humana, de la que se puede extraer información de salud, problemas físicos o psicológicos, etc.
Rasgos faciales derivados de sistemas de reconocimiento facial, que revelan el origen racial o étnico, y también permiten extraer información de salud, etc.
Huella dactilar, mediante sistemas de identificación que permiten el registro de parámetros como la temperatura o la presión sanguínea.
Todos estos datos pueden llegar a identificar de manera unívoca a una persona física.
Por este motivo, el RGPD establece, con carácter general, la prohibición del tratamiento de estas categorías especiales de datos personales en su artículo 9.1.
Excepciones para el registro de jornada y control de presencia en el ámbito laboral
En este sentido, el apartado 2 del artículo 9 establece una serie de supuestos de excepción, que deben ser analizados y valorados, a efectos de que este tratamiento pueda estar legitimado por alguna de estas opciones. Analizadas desde el punto de vista de los sistemas de registro de jornada y control de acceso y presencia en el ámbito laboral, nos interesa comentar dos aspectos clave.
Ausencia de normativa española para considerar necesario el tratamiento de datos biométricos en el ámbito laboral
El artículo 9.2.b del RGPD define una excepción para los casos en los que
el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
En el ámbito nacional, esto significaría la existencia de una norma con rango de ley, que debería reunir todas las características indispensables como garantía de la seguridad jurídica, definiendo todos los presupuestos y condiciones de la intervención. A día de hoy, como aclara la AEPD, en la normativa legal española no contiene autorización suficientemente específica para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo.
Justificar por qué no es viable otro sistema de registro y control
El mismo artículo introduce un matiz diferencial, que se debe tener en cuenta a la hora de valorar la posibilidad de cumplimiento de este supuesto y es el término «necesario».
De esta manera, lo que se pretende es que el responsable de los tratamientos (que pretende implantar sistemas biométricos) justifique suficientemente por qué ya no resulta viable el sistema de registro y/o control utilizado hasta ese momento. Además, deberá justificar de igual manera por qué no resultan viables otros sistemas (tarjetas, certificados, claves, sistemas contact-less, etc.) que no llevan a cabo el tratamiento de categorías especiales de datos y, por tanto, resultan mucho menos invasivos para los derechos y libertades de las personas físicas.
Recordemos en este punto el principio de minimización, que nos refiere a que los datos personales (y más las categorías especiales) solo deben tratarse cuando no exista otro medio que siendo igual de eficaz sea menos intrusivo.
El consentimiento expreso del interesado
El artículo 9.2.a) del RGPD establece la excepción para los supuestos en que el interesado dé su consentimiento explícito para este tratamiento de datos personales con uno o más de los fines especificados, salvo cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición (general del apartado 1) no puede ser levantada por el interesado.
En este sentido, el artículo 4.11 del mismo Reglamento define este consentimiento del interesado como
toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Este carácter de «libertad» difícilmente puede darse en el ámbito laboral, por cuanto el interesado tiene realmente la obligación de participar en el tratamiento cuya finalidad es llevar a cabo el registro de su jornada laboral, y no el tratamiento de datos biométricos.
De esta manera, en el ámbito laboral, únicamente podría entenderse que existe un consentimiento libre para el tratamiento si el trabajador o interesado tuviese otra alternativa disponible que no supusiese el uso de sistemas biométricos. Pero esta opción tampoco sería viable desde el momento en que, si existiese una alternativa que no implicase el tratamiento de datos biométricos, el mismo dejaría de ser «necesario» y, como veíamos anteriormente, debe serlo.
En consecuencia, en el ámbito laboral, el consentimiento del interesado no es suficiente para levantar la prohibición general del tratamiento de categorías especiales de datos del artículo 9.1 del RGPD.
3 motivos por los que no es posible emplear sistemas biométricos en el terreno laboral
En resumen, y como conclusión, debemos resaltar que, a día de hoy, no resulta posible llevar a cabo el registro de jornada y/o el control de acceso y presencia en el ámbito laboral mediante sistemas biométricos por tres motivos principales:
- El principio de minimización de datos no permite su utilización mientras existan otras alternativas que, o no requieran de tratamientos de datos personales o estos sean menos intrusivos (por volumen o características),
- No existe en este momento una norma con rango de ley que permita de manera específica llevarlo a cabo, levantando la prohibición que, con carácter general, establece el artículo 9.1 del RGPD, respecto del tratamiento de categorías especiales de datos.
- En el marco actual, el consentimiento explícito del interesado no es suficiente, en el ámbito laboral, para contradecir la prohibición general de tratamiento de categorías especiales de datos.
En Vento Abogados & Asesores, ponemos a su disposición un equipo de juristas especializados en prestar servicios de protección de datos para asesorar a las empresas en todo lo relativo al tratamiento de la información personal de sus clientes y empleados.