Guía de la AEPD sobre la utilización de datos biométricos: ¿es legal fichar con la huella dactilar en el trabajo?

El uso de datos biométricos para la identificación de las personas en el entorno laboral todavía sigue suscitando dudas por lo que, aprovechando la publicación, el pasado 23 de noviembre de 2023, de la «Guía tratamientos de control de presencia mediante sistemas biométricos» por parte de la Agencia Española de Protección de Datos (AEPD), repasamos los criterios para garantizar que el tratamiento de datos personales que se realice con esta tecnología cumpla con el Reglamento General de Protección de Datos (RGPD).

CUESTIÓN

¿Qué se consideran datos biométricos?

Se consideran datos biométricos los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (art. 4.14 del RGPD) .

La AEPD ha explicado que la utilización de los sistemas biométricos supone el tratamiento de categorías especiales de datos de alto riesgo. Por lo tanto, el levantamiento de la prohibición de su tratamiento debe estar basado en una norma con rango de ley.

En el caso de los tratamientos biométricos con fines laborales, el responsable deberá contar con una autorización específica para poder tratar esas categorías. Además, el consentimiento no puede levantar la prohibición o servir como base para determinar la licitud de este, ya que existe un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo.

Por otro lado, en el caso de los tratamientos biométricos con fines no laborales, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad.

Además, los sistemas biométricos y el tratamiento de los datos que se pueden obtener a partir de ellos están evolucionando muy rápidamente. Los nuevos sistemas aumentan el detalle de la información recogida e incluso permiten la posibilidad de recoger información sin la cooperación de la persona, que en ocasiones ni siquiera es consciente de ello.

La AEPD ha explicado que, antes de que se inicie el tratamiento, será obligatoria la realización de una evaluación de impacto para la protección de datos, donde se acredite la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.

¿Qué medidas se deben llevar a cabo para garantizar la protección de los datos personales según la AEPD?

La Agencia ha destacado que, si se cumplen los requisitos necesarios, se deben llevar a cabo una serie de medidas para garantizar la protección de los datos personales, como:

• Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
• Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
• Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
• Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
• Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
• Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
• Implementar la protección de datos desde el diseño.
• Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.

Tras las distintas polémicas surgidas en los sistemas de control biométrico de entrada al trabajo,  ¿sigue siendo posible fichar con la huella dactilar en el trabajo? ¿un sistema de reconocimiento de huella dactilar para fichar la entrada o salida del trabajo incumple las premisas de la Agencia Española de Protección de Datos?, ¿y el reconocimiento facial?

Con la actual interpretación de la AEPD, cualquier empresa que utilice un sistema de reconocimiento biométrico para su registro de jornada puede ser sancionada. A pesar de que la norma en ningún memento establece la ilegalidad del fichaje por huella, la consideración como categoría especial de estos datos —como veremos— es una medida muy invasiva respecto a los derechos y libertades de las personas trabajadoras de forma que, lo «idóneo», sería recurrir a métodos menos invasivos.

El art. 20.3 del ET indican que «El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Atendiendo a esta norma parece que sería posible usar el registro de jornada por huella dactilar de forma legal. No obstante:

- El art. 9 del RGPD regula el tratamiento de categorías especiales de datos, entre los que se encuentran los datos biométricos, estableciendo una prohibición general de su tratamiento en los siguientes términos: «Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física»

- El Reglamento General de Protección de Datos (RGPD) y la posterior LOPDGDD incluyeron los sistemas de identificación por huella dactilar y datos biométricos como «categoría especial», diferenciando los conceptos de identificación y autenticación (cuyo deslinde resulta de gran dificultad en el caso analizado) en función de cada caso concreto y de las particulares técnicas empleadas en relación con la finalidad perseguida por el tratamiento, así como la necesidad de otorgar la máxima protección a los derechos de los afectados frente al uso de técnicas que puede ser más invasivas para su privacidad y generar mayores riesgos para sus derechos y libertades.

- El art. 9.2.b) del RGPD, con relación al tratamiento en el ámbito del Derecho laboral y de la seguridad y protección social, no solo exige que exista una habilitación legal -o convenio colectivo-, sino que impone en primer término el requisito de que el tratamiento sea «necesario». 

- Actualmente la normativa no contiene autorización suficientemente específica para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo.

- La Directriz emitida por el Comité Europeo de Protección de Datos (26/04/2023) entiende que datos de las personas como la huella dactilar (o los necesarios para el reconocimiento facial) son datos especialmente sensibles y prohíbe el uso de la huella dactilar como método de registro de jornada laboral en empresas:

«Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de información personal». (Traducción del ingles).

- La Directriz europea supuso el nuevo criterio de la AEPD n.º 98/2022 rectificando la interpretación inicial. Este criterio se plasma en al reciente «Guía tratamientos de control de presencia mediante sistemas biométricos» donde se establece que los sistemas biométricos se consideran un tratamiento de datos de alto riesgo, tanto para identificación como para autenticación, ya que pueden implicar la recogida de categorías especiales de datos. 

«(...) debe tenerse en cuenta el art. 5.1.c y el considerando 39 del RGPD que indica que los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Nuevamente, se señala que debe realizarse un análisis previo sobre la necesidad de dicho tratamiento para la consecución de la finalidad pretendida por el responsable del tratamiento, en el sentido de que no haya otro medio igual de eficaz y menos intrusivo, antes de la implantación de cualquier sistema; y todo ello debe de ser evaluado desde el Principio de protección de datos desde el diseño, focalizando el análisis en los derechos y libertades de las personas cuyos datos se van a tratar, dentro de ese primer paso. Para ello debería realizarse el correspondiente análisis de riesgos y superarse la evaluación de impacto y tener en cuenta el triple juicio de idoneidad, necesidad y proporcionalidad».

¿Sería posible utilizar los datos biométricos para fichar en caso de contar con el consentimiento explícito por parte de la persona trabajadora?

Aun contando con el consentimiento de los trabajadores no se cumpliría el requisito de necesidad establecido para realizar los tratamientos de datos biométricos para el registro horario.

El art. 4.11 del RGPD se refiere al consentimiento del interesado como «(...) toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen». La información proporcionada al interesado a de, entre otros, hacer consciente a los interesados de los riesgos de dicho tratamiento (considerando 39 del RGPD) , especialmente cuando afecta a personas se encuentre en situación de vulnerabilidad.

Según la «Guía tratamientos de control de presencia mediante sistemas biométricos», en el caso del registro de jornada, como el interesado tiene la obligación de registrar su jornada, «(...) únicamente podría considerarse la existencia de un consentimiento libre a un tratamiento adicional de datos, en este caso biométricos, si el interesado dispone de una alternativa de libre elección para cumplir con dicha obligación».

Cuando existan opciones realmente equivalentes y disponibles para todos los trabajadores, se podría estudiar si el consentimiento fuese válido, cumpliendo con los requisitos del art. 4.11 del RGPD y el resto de las condiciones del art. 7 del RGPD. Sin embargo, y respecto de este requisito de la posible «equivalencia de los tratamientos» hay que tener en cuenta que, si existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar, que permitan que en un momento dado todos los trabajadores opten por otras alternativas, el procesamiento de datos biométricos deja de ser necesario para la implementación del tratamiento. 

Al no ser necesario el tratamiento de datos biométricos, no se estaría cumpliendo con lo establecido en el art. 5.1.c del RGPD, y como se explicará más adelante en el capítulo VIII de este documento, al ser un tratamiento de alto riesgo, no cumpliría por tanto el requisito de «necesidad» que le impone el art. 5.1 y 35.7.b. Si el tratamiento es de alto riesgo, además de ser necesario, tiene que demostrarse la evaluación positiva de necesidad [art. 35.7.b del RGPD]; que en este caso no se cumpliría, precisamente por esa falta de necesidad.

Por lo tanto, en un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento del interesado no levanta la prohibición del tratamiento.

Sistema de registro horario de la jornada laboral