Comparte este post

Hace unos días, la Agencia Española de Protección de Datos (en adelante, AEPD) publicaba un nuevo documento que afecta a las empresas que hubieran implantado un sistema de control horario utilizando datos biométricos de las personas trabajadoras. Nos referimos principalmente al registro horario a través de la huella dactilar, pero el documento afecta a todos los datos biométricos (el reconocimiento facial o del iris, la voz, entre otros). Este documento cambia el criterio aplicado hasta ahora en España sobre la materia. Por este motivo, es importante analizarlo con detalle en nuestro Blog El Foro de Labos.

Para comprender el alcance de la modificación, resulta útil recordar cuál ha sido el criterio aplicado hasta ahora por la AEPD y que explicábamos en esta entrada de blog previa. Según la AEPD, el tratamiento de la huella digital para el control de acceso por los trabajadores podría considerarse una medida de control amparada en el artículo 20.3 del ET (y también en el artículo 34.9 ET), por lo que no exigiría el consentimiento del empleado. No obstante, para implantar esta medida debe aplicarse el principio de minimización; es decir, debe limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz e informar a la persona trabajadora sobre esta medida. La AEPD ha señalado en diversos informes que existen buenas prácticas que permiten el control a través de la huella digital sin que el sistema tenga que almacenar el dato biométrico (por ejemplo, por su incorporación a una tarjeta inteligente que se contrastase con la huella y se mantuviera siempre en poder del trabajador) (Informe 0324/2009, Documento de trabajo de la AEPD de 2018 y Guía La protección de datos en las relaciones laborales de 2021, pp. 30-32).

La misma doctrina ha sostenido también la Sala 3ª del Tribunal Supremo en la STS 2.7.2007 (Rº 5017/2003) y doctrina de suplicación (entre otras, la STSJ de Murcia de 25.1.2010, Rº 1071/2009). En la STSJ de Islas Canarias de 21.7.2007 (Rº 93/07), sobre idéntico asunto, se rechaza el argumento sindical de que este control horario reduzca las personas a un algoritmo, ya que el alcance del sistema no llega a tanto.

En este punto, la posición general en España fue distinta a la línea defendida por otros países (Austria, Francia, Italia y Noruega) que, advertían de los peligros del uso de los datos biométricos para el control horario y aplicaban una interpretación del artículo 9 del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) más garantista para los derechos de las personas empleadas. Vid. sobre este tema mi libro Biometría y sistemas automatizados de reconocimiento de emociones: implicaciones jurídico-laborales, editado en Tirant Lo Blanch en mayo de 2023.

A partir de noviembre de 2023 contamos con una nueva interpretación legal que formula la AEPD en la Guía sobre Tratamientos de Control de Presencia mediante Sistemas biométricos, teniendo en cuenta el criterio del Comité Europeo de Protección de Datos. En la nueva guía se establece lo siguiente:

1º. En la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. Ni los artículos 20.3 y 34.9 del ET para las personas trabajadoras ni el artículo 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP) para los empleados públicos constituyen una base legal para autorizar este uso en las empresas y en las entidades públicas.

En el caso de que el convenio colectivo incluyera el registro horario basado en los datos biométricos de la persona trabajadora, se debería justificar la necesidad de este tratamiento y por qué no son adecuados los sistemas existentes como tarjetas, certificados, claves, sistemas contact-less, etc.

2º. En un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento de la persona empleada no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre la persona trabajadora y la empresa o entidad pública que es la responsable del tratamiento.

3º. En el supuesto que hubiera base legal para llevarlo a cabo, las empresas y entidades públicas deberán superar la evaluación de impacto, previamente al inicio del tratamiento y cumplir determinadas garantías, obligaciones de transparencia y seguridad.

La razón de este cambio es que este tipo de tratamiento de datos es de alto riesgo, pues incluye categorías especiales de datos, entre ellos, datos de salud. Por ejemplo, en sistemas biométricos basados en el étnico, reconocimiento facial se pueden tratar datos que revelan el origen racial o y también se puede extraer información de salud, problemas físicos o psicológicos como en el caso de la voz, incluso algunos sistemas de identificación mediante huella dactilar permiten el registro de parámetros como la temperatura o la presión sanguínea. A lo que se suman factores como que la tecnología ofertada en el mercado suele recopilar más información de la que realmente es necesaria para la finalidad del tratamiento o con mucho más detalle. La situación descrita puede vulnerar el principio de minimización de datos.

Como reflexión final, desde nuestro punto de vista las empresas y entidades públicas deben revisar los sistemas de registro horarios si éstos se basan en los datos biométricos de las personas empleadas e implantar, en su caso, otros sistemas más respetuosos con los derechos fundamentales de protección de datos de carácter personal e intimidad. Igualmente, sería deseable que los convenios colectivos depurasen aquellas cláusulas que legitimen el uso de esta tipología de sistemas de control horario.

¿Qué opinas? ¡Deja tus comentarios!

Este es un blog para la difusión de resultados de investigación y el análisis jurídico de carácter general. Por ello, no se publicarán consultas particulares, que requieren la asistencia de un profesional que analice su caso concreto.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, tu correo electrónico y el contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información, revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

Lee más

Suscríbete a nuestro blog

y recibe en tu correo nuestras entradas

También en nuestro blog...

Office table

Contacta
con nosotros

Licencia

El contenido de este blog se publica bajo una Reconocimiento-CompartirIgual 4.0 . Esto significa que puedes reutilizar nuestros contenidos siempre que reconozcas la autoría, enlaces al blog original y no hagas un uso comercial sin autorización previa, expresa y por escrito del autor.