EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS PROHÍBE EL TRATAMIENTO DE DATOS BIOMÉTRICOS EN EL TRABAJO

La nueva guía publicada por el organismo europeo declara que todo tratamiento de datos biométricos supone el tratamiento de datos de categoría especial, imponiendo un régimen riguroso que hace jurídicamente inviable su uso en contextos laborales, como el registro de jornada laboral.

Durante los últimos veinte años, hemos podido ver cómo cada vez más empresas han adoptado sofisticados sistemas de control horario sobre sus trabajadores. Aunque esto responde siempre a una necesidad de comprobar que los empleados cumplen sus deberes laborales, también es un instrumento de garantía frente a los posibles abusos del empleador. En consecuencia, el establecimiento de un sistema fiable de registro de jornada laboral adquirió la condición de obligación legal con la entrada en vigor del Real Decreto-ley 8/2019, de 8 de marzo.

Estas circunstancias han llevado, entre otras cosas, a la proliferación de sistemas de fichaje mediante biometría; esto es, mediante la lectura de datos biométricos del trabajador, tales como su huella dactilar o su cara, para garantizar que es el empleado quien registra su jornada y evitar casos de fraude. No obstante, esta práctica siempre ha generado controversia desde el punto de vista de la normativa de protección de datos, pues el tratamiento de datos biométricos puede resultar muy invasivo para la privacidad de los interesados.

En este contexto, las autoridades de protección de datos han venido permitiendo esta clase de sistemas, aunque con requisitos notablemente exigentes. Sin embargo, las recientes Directrices 05/2022 elaboradas por el Comité Europeo de Protección de Datos (CEPD), organismo que representa conjuntamente a todas las autoridades de control europeas, parecen haber sentenciado la imposibilidad de utilizar datos biométricos para monitorizar la jornada del trabajador.

DATOS BIOMÉTRICOS: ¿DATOS DE CATEGORÍA ESPECIAL?

Desde la concepción de la Directiva 95/46, los datos biométricos han tenido una naturaleza jurídica compleja, y con la llegada del Reglamento General de Protección de Datos (RGPD) tal situación no ha hecho sino agravarse. Conforme al RGPD, son datos biométricos los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”; es decir, datos como la huella dactilar, la retina o la fisonomía.

A su vez, el Reglamento califica los datos biométricos como datos de “categoría especial” siempre que estén “dirigidos a identificar de manera unívoca a una persona física”. Este ha sido un punto especialmente polémico, pues hasta ahora las autoridades de control han hecho una distinción marcada entre el uso de datos biométricos para “identificar” frente a su uso para “autenticar”. En su Dictamen 3/2012, el CEPD lo exponía del siguiente modo:

Proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

Conforme al criterio de la Agencia Española de Protección de Datos (AEPD) “los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”. Dicha distinción ha servido para que ciertos usos de tecnologías biométricas escaparan al draconiano régimen que el RGPD reserva a los datos de categoría especial. Este régimen impone, en primer término, una prohibición general de tratamiento de datos de categoría especial, prohibición que únicamente quedará levantada en supuestos tasados, lo que conlleva enormes dificultades para procesar datos biométricos cuando se emplean para identificar unívocamente a un trabajador.

En su guía La protección de datos en las relaciones laborales, la AEPD recomendaba a las empresas emplear sistemas de registro horario consistentes en la autenticación mediante biometría, en lugar de identificación por biometría. De este modo, los datos tratados no serían de categoría especial y, por consiguiente, su tratamiento sería perfectamente lícito.

Pese a todo lo expuesto, las autoridades de control parecen haber cambiado definitivamente de parecer en esta materia. En sus nuevas Directrices 05/2022, el CEPD ha declarado expresamente:

“Si bien ambas funciones -autenticación e identificación- son distintas, ambas se refieren al tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de datos personales.”

De este modo, cualquier actividad sobre datos biométricos deberá ajustarse a los requisitos dispuestos por el artículo 9 RGPD.

EL CONSENTIMIENTO Y LA RELACIÓN LABORAL

Como decíamos, el RGPD impone estrictas condiciones para el tratamiento de datos de categoría especial, prohibiéndolo salvo en casos muy concretos. Cuando se trata de establecer un sistema de registro de jornada por biometría, únicamente dos de estas excepciones podrían resultar remotamente aplicables:



  • Que el trabajador otorgue su consentimiento explícito o;


  • Que el tratamiento sea necesario para cumplir obligaciones de derecho laboral, siempre que esté expresamente autorizado por ley.

Empezando por este último punto, podría caerse en la tentación de interpretar que el uso de sistemas biométricos para el control horario quedaría amparado por la obligación de contar con un mecanismo efectivo de registro de jornada, tal y como exige el Estatuto de los Trabajadores. Sin embargo, la Autoridad de Protección de Datos de Cataluña ya descartó esta posibilidad en su Dictamen CNS 2/2022, indicando que “Sin embargo, conviene tener en cuenta que la normativa no determina el mecanismo que se puede utilizar para registrar la jornada, ni prevé ninguna autorización para utilizar categorías especiales de datos, en concreto, de datos biométricos”. Y sentencia: “la afectación por el derecho a la protección de datos que se derive de la norma debe ser previsible. Y en un caso como el que nos ocupa, no se puede considerar previsible la norma si no concreta la posibilidad de utilizar datos biométricos con el fin de realizar el control horario”.

Por lo tanto, sólo quedaría aferrarse al consentimiento de los trabajadores. El problema es que el consentimiento constituye un instrumento sumamente sensible, que requiere importantes garantías en su obtención. El propio RGPD establece que el consentimiento no puede emplearse como fundamento para el tratamiento de datos cuando existe un desequilibrio claro entre el responsable y el interesado, situación que se produce en las relaciones entre trabajadores y empresarios, tal y como han constatado tanto el CEPD como la AEPD.

En atención a lo expuesto, todo apunta a que ningún sistema de registro de jornada por biometría podrá cumplir con los requisitos legales, lo que expone a las empresas usuarias a importantes riesgos de recibir sanciones económicas, máxime cuando sindicatos y trabajadores – o extrabajadores – descontentos pueden presentar reclamaciones ante la AEPD con este mismo fin.

Desde Caberseg, podemos ofrecer un asesoramiento integral en protección de datos para evaluar todos sus procesos y determinar cuáles no se ajustan a la normativa, así como guiarle en el proceso de adecuación para evitar riesgos legales.

Contacta con Caberseg y te informamos de todo