Articulo publicado por Vicente,
El uso de datos biométricos que realizan las empresas para control de accesos y para registro de la jornada laboral queda prohibido a partir de ahora para la mayoría de las empresas de este país
La AEPD tiene una Guía sobre relaciones laborales, publicada el 18 de mayo de 2021, en la que explica que se pueden utilizar datos biométricos de los trabajadores, siempre y cuando la empresa cumpla diez obligaciones (información a trabajadores, protección de datos desde el diseño, criterios de almacenamiento de datos biométricos, etc.).
Ahora bien, el 23 de noviembre de 2023 la AEPD ha publicado nueva una guía concreta y específica titulada “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” en la que reconsidera su interpretación.
Puedes leerte las 31 páginas que tiene la guía, o puedes leerte este resumen que he preparado, en que te lo explico con mis propias palabras, sacrificando precisión jurídica a cambio de claridad para los que no sean abogados.
La antigua guía diferenciaba entre identificación y autenticación.
La autenticación se da si el trabajador pone su código de trabajador (ejemplo el 33, es el código de Pepe) y a continuación el sistema examinaba el rostro (o la huella) de la persona que tenía delante, y decidía si era Pepe o no era Pepe.
La identificación se da si el trabajador se pone delante del dispositivo, y el sistema examina su rostro (o su huella) y la compara con todos los rostros (o huellas) de los usuarios registrados en el sistema y dice, “OK, te acabo de encontrar en mi base de datos, eres Pepe”.
La identificación se consideraba un tratamiento de NIVEL ALTO.
La autenticación, NO. Y por aquí, nos podíamos escapar de las obligaciones impuestas a los tratamientos de nivel alto.
La nueva guía expone los criterios por los que, a partir de ahora ambos tratamientos se consideran de nivel alto: el desarrollo tecnológico permite extraer más detalles de los rasgos biométricos de una persona. Ahora un buen sistema biométrico, además de identificar el rostro de Pepe, puede llegar a decirte la probabilidad de que Pepe esté enfermo o de que tenga un problema psicológico. Y un sistema de huella dactilar, además de identificar que se trata de Pepe, puede registrar datos de salud, como la temperatura corporal de Pepe, y su presión sanguínea.
Y dada la muy alta sensibilidad de estos datos, la AEPD no quiere que una empresa se plantee el utilizarlos, aunque Pepe haya dado su consentimiento. Más adelante te explico por qué.
El RGPD (Reglamento General de Protección de Datos) prohíbe el uso de datos de nivel alto, salvo que concurra alguna de estas circunstancias:
Existencia de una norma de rango de ley:
Hay una ley que obliga a las empresas a registrar la jornada laboral, pero en esa ley no obliga a que la empresa tenga que utilizar dispositivos de control biométrico para ello.
Por tanto, la ley no te sirve como excusa para poner un dispositivo de control biométrico.
Juicio de proporcionalidad:
El uso de datos biométricos supone una medida restrictiva de los derechos y libertades de los individuos.
El Tribunal Constitucional, en su sentencia 14/2003 nos dice que cualquier medida restrictiva de derechos fundamentales ha de superar el juicio de proporcionalidad cumpliendo estas tres condiciones: Que sea idónea, necesaria y que su adopción genere más beneficios que inconvenientes.
En la propia guía la AEPD nos dice que el sistema de control de presencia y control de accesos en las empresas se ha utilizado varios siglos sin necesidad de utilizar datos biométricos. En 1980, el principal fabricante de automóviles en España tenía 30.000 empleados y controlaba sus entradas y salidas sin sistemas biométricos. Así que, si tu empresa tiene menos de 30.000 empleados, bien puedes hacer como ellos y no usar biométricos.
Y puesto que no puedes demostrar que es necesario, no supera el juicio de proporcionalidad.
Consentimiento del interesado
En una relación empresa / trabajador, se presupone que la empresa es más poderosa que el trabajador y por tanto, ha de demostrar que el consentimiento es lícito.
Para que el consentimiento sea lícito, la empresa ha de proporcionar al interesado una alternativa.
Si existe una alternativa, ya la propia empresa está demostrando que no es necesario el uso de biométricos.
Conclusión de la AEPD: En un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento del interesado no levanta la prohibición del tratamiento.
¿Y si ya tengo instalado un sistema de control de accesos / registro de la jornada laboral que usa huella dactilar o reconocimiento facial?
Intenta ver si el fabricante te permite utilizarlo anulando el sistema biométrico y sustituyéndolo por uno de estos mecanismos:
- PIN o contraseña para cada trabajador.
- Tarjeta RFID para cada trabajador.
- Sistema NFC utilizando el teléfono móvil de cada trabajador.
¿Cómo puedo hacer que en mi empresa sí sea legal utilizar sistemas biométricos?
No lo tienes fácil. De entrada, biométrico = nivel alto, y, por tanto, necesitas una EIPD (Evaluación de Impacto sobre la protección de datos), que es un análisis laborioso (y caro).
Y aunque estés dispuesto a gastar dinero, a ver si se te ocurre cómo superarás el juicio de proporcionalidad y demostrarás la absoluta necesidad de utilizar esos biométricos para control de acceso.
Si tu empresa maneja secretos militares y tiene contratos con la OTAN, podemos ayudarte. En caso contrario, lo veo difícil.
PD: Si tienes gusto de leerte la guía de la AEPD, la tienes aquí