El uso de datos biométricos para la identificación de las personas en el entorno laboral
El pasado 23 de noviembre de 2023 la Agencia Española de Protección de Datos (en adelante “AEPD”) publico la Guía sobre tratamientos de control de presencia mediante sistemas biométricos, sobre dicha guía se nos plantea la siguiente cuestión ¿se puede hacer uso de sistemas biométricos para la identificación de las personas en el entorno laboral?
Para poder responder a esta cuestión debemos plantearnos que se considera un dato biométrico, pues bien, según el artículo 4.1 del Reglamento General de Protección de Datos (en adelante “RGPD”) se trata de “datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona”. En base a ello, la AEPD considera que los datos biométricos son una categoría especial de datos considerados de alto riesgo. En base a ello y por regla general quedan prohibidos los tratamientos de datos de categoría especial (artículo 9 del RGPD), salvo determinadas excepciones.
Según la interpretación actual de la AEPD y al ser los datos biométricos datos de categoría especial, la utilización de sistemas biométricos para fichar o para el control dentro del ámbito laboral, es considerada una medida demasiado invasiva en relación a los derechos y libertades de los trabajadores, siendo una mejor opción la utilización de otros instrumentos que impliquen una menor invasión.
En contradicción con lo dispuesto con anterioridad el artículo 20 del Estatuto de los Trabajadores establece que la empresa/empresario podrá hacer uso de las medidas que estime convenientes de vigilancia y control con la finalidad de verificar el cumplimiento de las obligaciones y derechos laborales por parte del trabajador.
Por lo que para que los sistemas biométricos puedan ser usados, será necesario determinar su finalidad, la existencia de una habilitación legal, así como que la utilización de dichos medios para el tratamiento sea necesario. Sobre este asunto trata la Directriz del Comité Europeo de Protección de Datos de 26 de abril de 2023, en la que se prohíbe el uso de la huella dactilar como herramienta de registro de la jornada laboral al ser considerado como dato especialmente sensible.
De manera que solo deberían tratarse este tipo de datos si la finalidad del tratamiento no pudiera llevarse a cabo por otros medios, previo análisis de necesidad del tratamiento para la consecución de la finalidad que se pretende. No debiendo existir otro medio de igual eficacia o menos intrusivo, haciendo juicio de idoneidad, necesidad y proporcionalidad.
En este punto es el momento de plantear la siguiente cuestión ¿y si tuviéramos el consentimiento del trabajador para realizar el tratamiento de los datos biométricos? Pues bien, para el caso del registro de jornada y control de acceso con fines laborales, y según lo dispuesto en el artículo 4.11 del RGPD, el consentimiento del interesado debe ser libre, especifico e informado. Partiendo de dicha premisa, la Guía de la AEPD sobre tratamientos de control de presencia mediante sistemas biométricos, entiende que “en un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento del interesado no levanta la prohibición del tratamiento, con carácter general, al existir una situación en la que existe un desequilibrio con el responsable del tratamiento, como ocurre en el ámbito de una relación laboral (o administrativa/funcionarial), y no superaría la evaluación de necesidad, requisito para tratamientos de alto riesgo”.
Por lo que ¿las empresas que tengan implementado un sistema biométrico ¿Qué deberán hacer? Pues bien, en la actualidad no existe una norma con rango de ley que permita hacer uso de los datos biométricos, de manera que las empresas que implementen o bien ya tuvieran implementado este sistema deberán poner fin al tratamiento de los datos biométricos de sus empleados, haciendo uso de un sistema alternativo de menor riesgo.
Sin embargo, puede ser que exista la posibilidad de que en el contenido de un Convenio Colectivo se establezca o regule la posibilidad de utilizar datos biométricos para el control de la jornada laboral del empleado, para ello y sin perjuicio de ello, será necesario llevar a cabo una Evaluación de Impacto, al ser los datos objeto del tratamiento, datos de carácter especial.