Los códigos QR (Quick Response Code; código de respuesta rápida) son sistemas de codificación bidimensional que permiten almacenar información en una matriz de puntos (norma ISO/IEC 18004). Como se sabe, mediante un visor de cámara fotográfica de móvil y gracias a un lector de QR, se puede escanear y descodificar información contenida en el código, en concreto, hasta 7089 caracteres numéricos, 4296 alfanuméricos o 2953 binarios. Pese a que esta modalidad de tecnología se originó en el sector de la automoción en Japón hace más de veinticinco años, la nueva normalidad ha despertado una vez más el interés por los codigos QR ante la necesidad de reforzar las medidas de higiene en las empresas para evitar un rebrote de la Covid-19, entre otras. De hecho, durante el punto álgido de la pandemia, algunos países emitieron este tipo de códigos para que los trabajadores pudieran acceder al trabajo acreditando así que no suponían riesgo de contagio para el resto. Al hilo de estos nuevos usos, surgen algunas cuestiones en el ámbito laboral: ¿suponen tratamientos de datos de carácter personal de los empleados?; ¿se cumplen correctamente los deberes empresariales mediante el uso de códigos QR?; ¿qué tipo de medidas de seguridad deberían adoptarse para evitar fugas de datos?

Algunas empresas utilizan los códigos QR como sistema de control horario que, por cierto, garantizan las medidas higiénicas para la protección de la salud y seguridad de los trabajadores y son una alternativa a los sistemas de fichaje mediante huella dactilar. Una manifestación de estas ideas es el Convenio Colectivo de la empresa Brillosa, SL (BO. Islas Baleares nº 64 de 25.5.2017) cuyo artículo 29 indica: «La nueva exigencia legal de registrar las horas que realiza el personal, según el artículo 12. 4.c) y 35.5 del vigente ET y las exigencias cada vez mayores de los clientes para satisfacer los altos niveles de calidad en la prestación del servicio contratado, obligan a la empresa a tener un sistema de registro de horario de entrada y salida de cada trabajador/a en cada centro de trabajo. Por ello la empresa ha implantado el sistema EMF-PEGASUS, consistente en el registro de entradas y salidas en cada centro de trabajo mediante un teléfono móvil y una pegatina con un código QR que colocará en cada centro de trabajo. Este sistema entrará en vigor paulatinamente. Para facilitar el uso de este sistema, la empresa propone dos opciones: A) Que cada trabajador/a use su propio teléfono, si dispone cámara (evitando así tener que llevar dos, en su caso) abonándole la empresa en la nómina en este supuesto dos euros mensuales por el posible coste que el sistema suponga en ‘tráfico de datos’. B) Facilitar al trabajador/a un teléfono móvil de empresa para este fin exclusivamente, siendo totalmente a cargo de la empresa su coste y mantenimiento. En cualquier caso, se le proporcionará a cada trabajador/a la necesaria y suficiente información para el uso de este sistema. El/la trabajador/a deberá preocuparse, y queda obligado, a llevar siempre el móvil cargado en cada centro de trabajo para poder registrar a diario la entrada y la salida. El/la trabajador/a deberá firmar el documento oportuno de elección de uno u otro sistema (A o B). Si la tecnología cambia, la empresa podrá adaptar este sistema a los nuevos requerimientos, siendo consulta e informado el Comité de Empresa».

Por otro lado, la tecnología QR  también ha permitido mejorar los procesos para evaluar las candidaturas a un puesto de trabajo de forma que los aspirantes pueden registrarse en una web específica y empezar un proceso de criba con el escaneo de un código QR.

Además, algunas empresas utilizan este tipo de codificación para cumplir los deberes de prevención de riesgos laborales. Así, los planes de prevención de riesgos laborales incluyen los códigos QR como método informativo acerca de los riesgos específicos de diversas máquinas. En este campo también resulta significativo el ejemplo de la tarjeta profesional de la construccción expedida por la Fundación Laboral de la Construcción y que acredita entre otros datos, la formación específica recibida del sector por el trabajador en materia de prevención de riesgos laborales, así como el grupo profesional del trabajador y los periodos de ocupación en las distintas empresas en las que vaya ejerciendo su actividad. Precisamente, su formato se ha actualizado  introduciendo cambios tecnológicos como el código QR (Vid. Acta de los acuerdos sobre modificación de la regulación de la tarjeta profesional de la construcción de acuerdo con lo establecido en el V Convenio colectivo del sector de la construcción).

No obstante, hay que tener en cuenta que, debido a que los códigos QR sólo pueden ser leídos por máquinas, existe el riesgo de que oculten su contenido al trabajador redirigiendo a éste a páginas webs maliciosas o sustrayendo información personal de los dispositivos dado el uso generalizado de smartphones. La AEPD ha expresado sobre el pasaporte de inmunidad que incluye datos sensibles de salud que un uso bien gestionado de apps para certificaciones o registros de salud, que los mantenga actualizados, seguros e interoperables tiene cierta utilidad en ámbitos concretos siempre que el acceso a dicha información se realice por personal vinculado al cumplimiento de las finalidades relacionadas con políticas públicas para el control de la pandemia (Vid. documento). De ahí que los protocolos de seguridad de las empresas sean especialmente relevantes cuando se decide implantar el uso de códigos QR.

Ante este riesgo latente, las empresas deberían implementar en sus políticas la adopción de medidas que impidan a terceros no autorizados acceder a los datos almacenados cuando se trata de datos de carácter personal de los empleados. En este sentido, es posible encriptar, de manera que sólo teniendo una clave compartida fuera posible leer la información o incorporar la firma dentro del código QR para que el trabajador pueda verificar que el mensaje no fue manipulado previamente (MIT, Security Overview of QR Codes, 2014).  Al respecto, se recomienda utilizar un lector de código QR que haya sido programado teniendo en cuenta la seguridad de la información (Norton Snap -para Android o bien para iPhone- es un buen ejemplo). De este modo, el lector debe permitir la inspección previa de la información descodificada del código QR antes de acceder a ella, evitando la apertura automática del navegador. Y, por último, es conveniente asegurarse, al fotografiar un código QR,  de que el código de barras en cuestión no es una pegatina que haya sido pegada a posteriori sobre el código real (Recomendaciones del Centro Criptológico Nacional adscrito al CNI).