EL uso de la Huella dactilar como dato biométrico para el control de la jornada laboral – LOPD

Antecedentes de de la biométrica y la LOPD

Dada la práctica, cada vez mas habitual, de emplear sistemas de identificación mediante huella dactilar en ámbitos laborales y de Protección de Datos Personales (LOPD), nos surge la cuestión de hasta que punto es legitimo el empleo de dichos mecanismos biométricos en estos contextos, dada la facilidad con la que se puede incurrir en una injerencia no ajustada a derecho en el ámbito privado de la vida de los empleados. Para resolver esta cuestión, partiremos de la definición de dato biométrico, calificación que recibe la huella dactilar y cuya definición nos viene dada en el punto décimo cuarto del artículo 4 del Reglamento 2016/679, del Parlamento y del Consejo, de 27 de abril, general de protección de datos, en adelante RGPD, tratándose estos datos de “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

A partir de esta definición nos encontramos ahora con el artículo 9.1 del mismo cuerpo legal, que expone que, entre otros, queda prohibido el tratamiento de datos personales que revelen datos biométricos, siendo este tipo de datos los que nos atañen en el presente caso, como vemos: “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.” Al recibir este tipo de datos especialmente sensibles un tratamiento específico, y dado que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales no regula el tratamiento que este tipo de datos debe recibir, nos hemos de remitir al Considerando 51 del RGPD, tal como indica la Agencia Catalana de Protección de Datos (APDCAT), en su resolución CNS 63/2018, en la que se indica al respecto que “Asimismo, deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando así lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las Garantías apropiadas, a fin de Proteger datos personales y Otros derechos fundamentales”.

De la anterior afirmación se desprende que para salvar el obstáculo legal impuesto en el artículo 9.1 del RGPD expuesto, se da potestad a los Estados Miembros de la Unión para establecer excepciones en las que se habilite el tratamiento a estos datos adaptando dicho tratamientos a las exigencias legales establecidas en sus derechos estatales, pero no de manera automática, sino que se deberán observar los principios generales que se expondrán a continuación, y además, otras normas recogidas en el RGPD, como lo es la realización de una evaluación del impacto que permita conocer el alcance del tratamiento realizado con los datos biométricos. Así pues, estos son los principios generales:

–          Proteger los intereses legítimos de empresarios, empleados o terceros.

–          Inexistencia de medios menos intrusivos disponibles.

–          Observancia de las garantías adecuadas a la hora de tratar datos biométricos.

–          Los tratamientos de datos biométricos deben encontrar su base en métodos científicamente reconocidos.

–          Sujeción a los requisitos de estricta necesidad y proporcionalidad (al tratarse de datos de categoría especial el juicio de ponderación aplicable al tratamiento tiene que cumplirse de forma especialmente sólida y contundente)

De forma añadida a las anteriores exigencias, resulta imprescindible en este punto tratar nuevamente la necesidad de que el tratamiento de los datos biométricos requerirá no sólo la concurrencia de una de las bases jurídicas establecidas en el artículo 6 del RGPD (consentimiento del interesado; necesidad para la ejecución de un contrato; cumplimiento de una obligación legal; protección de intereses vitales del interesado o de terceros; necesidad para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; satisfacción de intereses legítimos del responsable del tratamiento o de terceros, siempre que ello no prevalezca sobre los derechos, intereses y libertades del interesado, sobre todo si se trata de menores) sino que, además, deberá concurrir alguna de las excepciones previstas en el artículo 9.2 del RGPD, cobrando especial relevancia la de la letra b), “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado” en relación con el 6.1 b) y f) del reglamento, al cual nos remitimos.

Como ya hemos mencionado anteriormente, ni la nueva LOPDGDD, ni ninguna otra norma con rango de ley autoriza expresamente el tratamiento de datos biométricos en el ámbito laboral, por lo tanto, la otra alternativa de norma habilitante con rango de ley es un convenio colectivo con arreglo al Derecho de los Estados miembros.

A este respecto, la agencia catalana concreta que:

”Una vez que los datos biométricos han pasado a ser considerados como datos especialmente protegidos, no parece tan claro que la utilización de sistemas de control horario basados en este tipo de datos deben ser admitidos como medio preferente para llevar a cabo dicho control. Más bien al contrario. Dada la especial naturaleza de estos datos parece que habrá que optar en primer lugar por otros sistemas de control que, sin utilizar categorías de datos en mente protegidos, puedan permitir alcanzar el mismo fin.”

En este punto, desde la entrada del dato biométrico a categoría especial, se denota un claro cambio de criterio en la legitimación respecto de dichos tratamientos, inclusive hasta el punto de que ciertas autoridades de control como la francesa y la italiana se han pronunciado en contra de estos sistemas de control basados en datos biométricos.

No obstante, desde la Agencia Española de Protección de Datos el criterio que sigue es menos restrictivo, y más desde la entrada el 12 de mayo del Real Decreto Ley de registro de la jornada laboral con la intención de disminuir la precariedad laboral, donde a través de la modificación del articulo 34.9 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, donde se establece a criterio de la Agencia de Española de Protección de Datos que la legitimización de dicho tratamiento se invoca de la nueva obligación legal que impone el propio Estatuto del Trabajador así como de la propia ejecución del contrato laboral entre el empleador y el empleado.

Respecto al matiz, al vital matiz sobre la utilización de datos biométricos para ejecutar dicho tratamiento lo legitima siempre que se adopten garantías que el tratamiento sea lo menos intrusivo posible, como indica en el informe del Gabinete Jurídico número 280/2013, donde se recomienda un sistema de almacenamiento descentralizado donde los datos biométricos son almacenados en dispositivos que son custodiados por el propio personal, la utilización de técnicas de cifrado y la garantía que impida la reversión de los datos. En la propia FAQ de la Agencia se señala lo siguiente “La empresa podrá habilitar el sistema que considere más adecuado y por tanto, desde la perspectiva del derecho fundamental de la protección de datos, tendrían la misma base de legitimación y no precisarían el tratamiento consensuado con los trabajadores los sistemas manuales, analógicos o digitales al efecto de generar la correspondiente prueba justificativa del registro diario de la jornada de cada trabajador”, por lo que se levanta la veda al uso de los datos biométricos siempre que se aporten las garantías necesarias a su tratamiento.

No obstante, del uso de los datos biométricos para el control de la jornada laboral brota otra inquietud, duda o interrogante y, que no es otra, de que si originará la necesidad de realización de una Evaluación de Impacto de Privacidad (DPIA). Este es otro matiz vital para el cual no hay una respuesta clara y contundente y que deberemos de llegar a la conclusión de si el uso de esta tecnología se deriva un riesgo alto para los derechos y libertades de las personas teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, o sea, teniendo en cuenta datos personales implicados (2 empleados o 2000), tecnología (centralizado, descentralizado, cifrado, etc) , fin o propósito (solo control de la jornada laboral u otros fines, etc. Por lo tanto, una vez más no podremos de atender a soluciones globales o generalizadas sino a soluciones personalizadas a cada situación y contexto.

Finalmente, a conclusión recomendamos máxima precaución y cautela en la utilización de sistemas de control de la jornada laboral con datos biométricos, debido principalmente a la necesidad de encontrar soluciones contundentes, garantistas y proactivas que tengan en el centro de su diseño la privacidad y la seguridad de los datos biométricos de los empleados

Por otro lado, si no cuentas con un Delegado de Protección de Datos y deseas contratar los servicios de Delegado de Protección de Datos puedes ponerte en contacto con Gesdata Consulting.

Sueca. CP 46410 València
96 203 41 21