En entradas previas comentamos que, pese a que son numerosas las aplicaciones que permiten utilizar el dato biométrico del rostro de las personas trabajadoras para el control horario, todavía no se había analizado un supuesto laboral por los Tribunales. Recientemente, se ha resuelto uno de los primeros casos judiciales en España que se pronuncia sobre el software de control de presencia denominado “Ocean” aplicado por una empresa a sus trabajadores y que merece nuestra atención.

Los hechos son especialmente interesantes por dos razones principales: en primer lugar, porque el trabajador denuncia a la empresa en la vía judicial y la administrativa; y, en segundo término, porque en las resoluciones (judicial y administrativa) se analizan las obligaciones y los límites que las empresas deben cumplir cuando pretenden utilizar este tipo de tecnología con finalidad laboral. Conviene recordar que el registro de la jornada es una obligación de las empresas según el artículo 34.9 del ET, pero se deben respetar los derechos fundamentales de las personas trabajadoras (entre ellos, los derechos de intimidad y protección de datos de carácter personal).

El supuesto ocurre en Alicante cuando el trabajador denuncia que la empresa toma una fotografía de la cara de los empleados desde un dispositivo de la entrada y que esa imagen se usa para fichar la entrada y la salida en el puesto de trabajo. La empresa no había informado al trabajador sobre el uso de los datos biométricos (en este caso, el rostro del trabajador), tan solo le pide que firme un consentimiento al uso de los derechos de imagen que podrían ser utilizados para la difusión y promoción de la empresa (en su página web, redes sociales, campañas y similares).

En la vía judicial, la Sentencia del Juzgado de lo Social nº 2 de Alicante de 15 de septiembre de 2023 (nº 190/2023) comprobó si la empresa había cumplido las obligaciones previstas en el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD): es decir, el requisito del consentimiento del trabajador, la proporcionalidad de la medida y la evaluación de impacto.

A juicio de la Sentencia es evidente que el trabajador no dio su consentimiento para que se usara su imagen como sistema de control de entrada y salida en la empresa (fichaje). Dicho con otras palabras, el trabajador no puede dar un consentimiento informado si desconoce el tratamiento de imágenes a efectos del reconocimiento facial.

Sobre si el consentimiento de la persona empleada es un requisito suficiente para aplicar esta medida de registro horario, la Autoridad Catalana de Protección de Datos había advertido en 2022 que “el consentimiento del personal afectado no puede considerarse una base jurídica adecuada para la implantación de un sistema de control horario mediante reconocimiento facial como el descrito en la consulta. Sería necesaria la previsión de este sistema de control en una disposición legal o en un convenio colectivo aplicable, o en su caso, en pacto o acuerdo consultado de la negociación colectiva, circunstancias que no parecen concurrir en el caso analizado. En cualquier caso, antes de la implantación de un sistema de este tipo, es necesario realizar una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en las que se lleve a cabo el tratamiento por determinar su licitud y su proporcionalidad, incluso el análisis de la existencia de alternativas menos intrusivas, y establecer las garantías adecuadas” (informe CNS 2/2022, de 2 febrero, respuesta a la consulta planteada por un Ayuntamiento sobre la posibilidad de instalar un sistema de control de presencia en el lugar de trabajo mediante reconocimiento facial).

En relación con la proporcionalidad de la medida, la conclusión que alcanza el juez es que no consta que se ofrecieran al trabajador otras opciones sobre el modo de fichar, pudiendo habérsele ofrecido la posibilidad de hacerlo con tarjeta, como así ocurrió con unas trabajadoras gemelas.

Por lo que se refiere a la vía administrativa, la Agencia Española de Protección de Datos (EXP202209921) concluyó que la empresa había incumplido la obligación de evaluación de impacto del artículo 35 del RGPD coincidiendo en este punto con la resolución judicial.

En definitiva, los incumplimientos empresariales quedaron acreditados y la Agencia condenó a la empresa a abonar la suma de 20.000 euros y la sentencia judicial ordenó el cese de la conducta empresarial y el pago al trabajador de la indemnización por daños morales en la suma de 6.251 euros. La indemnización se concede porque se había producido una vulneración del derecho a la intimidad personal y familiar y a la propia imagen del trabajador.

Como reflexión final, cabe apuntar que este tipo de control de nueva generación sitúa a las personas trabajadoras en una vulnerabilidad extrema y precisan de mayores garantías. La transformación del dato biométrico y sus implicaciones en el ámbito laboral se ha estudiado recientemente en nuestro libro y una de las conclusiones es que hay argumentos suficientes para proponer un mayor desarrollo legal de esta materia en nuestro país más allá de la sucinta referencia a la grabación de las voces prevista en el artículo 89.3 de la Ley Orgánica 3/2018, de 5 diciembre, Protección de Datos Personales y Garantías de los Derechos Digitales. Si el legislador acogiera esta propuesta, sería deseable incluir de forma explícita en la norma española algunas garantías laborales en el caso de los datos biométricos tales como restringir las finalidades de su uso o articular un control previo de la medida empresarial que fuera administrativo con intervención de la Agencia Española de Protección de Datos o con la participación de los sindicatos.