Las multas a las que se exponen las empresas por usar sistemas biométricos como la huella dactilar
Las empresas españolas que cuentan actualmente con estas tecnologías se van a ver abocadas a tener que prescindir de ellas
Hace unos días la Agencia Española de Protección de Datos (AEPD) publicó su Guía sobre Tratamientos de Control de Presencia mediante Sistemas Biométricos que impacta de lleno en el fichaje o acceso mediante huella dactilar o reconocimiento facial (u otros datos biométricos).
Conforme con Reglamento General de Protección de Datos (RGPD), los datos biométricos, cuando se utilizan para identificar a una persona, son considerados datos de categoría especial. El tratamiento de este tipo de datos está prohibido como regla general, pudiendo manejarse sólo si se da algunas de las excepciones que el propio RGPD prevé al efecto.
La AEPD reconoce en su propia guía que ha cambiado de interpretación en lo que se refiere a la legitimación para llevar a cabo este tipo de controles.
Hasta ahora las empresas que habían adoptado estos sistemas, basaban su legitimación en los artículos 20.3 y 34.9 del Estatuto de los Trabajadores (ET). Sin embargo, la AEPD en esta nueva guía, siguiendo la estela de otras autoridades de control de protección de datos como el Comité Europeo de Protección de Datos, así como las autoridades catalana y andaluza, entiende ahora que si en estos sistemas de control mediante datos biométricos, estos datos siempre van referidos a una persona individualizada, deben ser comprendidos siempre como datos de categoría especial.
Por otro lado, señala que los referidos artículos del Estatuto de los Trabajadores no son suficientes para legitimar estos usos de los datos biométricos porque no describen el tratamiento de este tipo concreto de datos, ni recogen las garantías que deben aplicarse a estos sistemas para respetar los derechos fundamentales e intereses de los trabajadores.
Con carácter general, tampoco cabrá acudir al consentimiento de los empleados, pues se parte de la presunción de que el empleador ostenta una posición dominante frente al trabajador y por tanto este no habrá dado su consentimiento de forma libre.
Además, según la interpretación que la AEPD hace en esta guía, se establecen otras limitaciones y muchos y complejos condicionantes para poder implementar este tipo de controles mediante sistemas biométricos en la empresa. No es que se les cierre definitivamente la puerta, pero lo cierto es que quedan tan sumamente restringidos que, en la práctica, la mayoría de las empresas españolas que, tras afrontar una seria inversión, cuentan actualmente con estas tecnologías se van a ver abocadas a tener que prescindir de ellas si no quieren correr el riesgo de sufrir una sanción de la agencia.
A diferencia de otras ocasiones en que la AEPD ha cambiado de criterio, en este caso no ha concedido ningún plazo para que las empresas españolas regularicen su situación. Por tanto, actualmente muchas empresas están en situación de riesgo.
Justo sería que si la AEPD fuera a sancionar próximamente a una empresa por utilizar alguno de estos controles, durante un plazo prudencial lo hiciera con un apercibimiento y el requerimiento de cese de los mismos, en lugar de con multas pecuniarias.
Ahora bien, nada nos asegura realmente que no vaya a caer una sanción de varios miles de euros, o incluso millones como la que ya impuso la agencia a una cadena de supermercados que pretendió utilizar el reconocimiento facial para controlar que no se le “colaran” ladrones en sus tiendas y fue castigada con algo más de 3 millones de euros. Y es que, como se suele decir, según sea el tamaño del sapo así será la pedrada. Léase facturación en lugar de tamaño.
Hasta ahora la AEPD no sancionaba pecuniariamente el uso en sí de estos controles en el entorno laboral. Sí ha multado por no informar sobre estos sistemas, por no haber realizado la preceptiva evaluación de impacto, o por un uso desproporcionado de estos controles. En estos casos, las sanciones han ido desde los 5.000 hasta los 200.000 euros, lejos de la sanción millonaria ya mencionada (era un sapo muy gordo).
Pero debemos recordar que la licitud de cualquier tratamiento de datos personales, es uno de los principios básicos del RGPD y este dispone que su incumplimiento puede ser sancionado con hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior. Eso sí, la empresa siempre tendrá la (perversa) opción, al inicio del procedimiento administrativo, de acogerse a las reducciones por reconocimiento de responsabilidad y por pago voluntario, que ascienden a un 40% entre ambas, si bien en ese caso ya no cabe pelear la resolución.
Echen ustedes cuentas y valoren qué conviene, pero tengan en cuenta que el pago no legitima el tratamiento de los datos biométricos (es decir que además de la multa que caiga, habrá que eliminar igualmente los controles mediante biometría), y que aparte de las potenciales sanciones de la AEPD, también pueden llover condenas al pago de indemnizaciones a los trabajadores por vía laboral o vía civil.
Ruth Benito Martín, of counsel y responsable del área de estrategia y gestión de datos personales de Elzaburu.
