Sistemas biométricos y control de presencia: el nuevo criterio de la AEPD
Las empresas deberán revisar sus sistemas de registro horario para determinar si es posible seguir utilizándolos
En estas notas se desarrollan las principales novedades laborales derivadas de la Guía sobre Tratamientos de Control de Presencia mediante Sistemas Biométricos, publicada por la Agencia Española de Protección de Datos (AEPD) el pasado 23.11.2023.
En la guía, la AEPD determina los criterios para la utilización de sistemas de procesamiento de datos biométricos en los tratamientos de control de presencia. Ello de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27.11.2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
En el ámbito del derecho laboral, el nuevo criterio de la AEPD afectará a aquellas empresas que hubieran optado por implementar sistemas de control biométricos para llevar a cabo el registro de la jornada de trabajo regulado en el artículo 34.9 del Estatuto de los Trabajadores (ET) o para realizar el control de accesos en relación con la previsión del artículo 20.3 del ET.
Es relevante destacar que el artículo 4.14 del reglamento define los datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (huellas). En consecuencia, los sistemas de procesamiento de datos biométricos recogen y procesan los referidos datos, realizando operaciones que permitan su tratamiento para identificación, seguimiento o perfilado de dichas personas.
En relación con lo anterior, el artículo 9.1 del Reglamento General de Protección de Datos (RGPD) prohíbe expresamente el tratamiento de datos biométricos. No obstante, en su artículo 9.2 se establecen excepciones en las que sí se puede llevar a cabo el mismo.
Para comprender el alcance de la modificación efectuada recordar que, hasta el momento, la Agencia Española de Protección de Datos consideraba que la autenticación biométrica, o el proceso de probar que es cierta la identidad reclamada por un individuo, comparándose los datos del individuo únicamente con los datos asociados a la identidad reclamada, no conllevaba un tratamiento de categorías especiales de datos de conformidad con el artículo 9 del reglamento.
Según la AEPD, el tratamiento de datos biométricos en el ámbito laboral podía considerarse una medida amparada por los artículos 34.9 y 20.3 ET, criterio que también compartía la jurisprudencia, entre otras, la sentencia del Tribunal Supremo (Sala Contencioso-Administrativa) Rec. 5017/2003, de 2.07.2007.
Sin embargo, el pasado 23 de noviembre de 2023, la AEPD publicó una guía en la que, en base al criterio del Comité Europeo de Protección de Datos en sus directrices 05/2022, modifica el criterio expuesto anteriormente, asumiendo que los datos biométricos constituyen una categoría especial de datos personales.
Así, la AEPD considera que el concepto de dato biométrico abarca tanto la “autenticación” como la “identificación” pues ambos se incluyen en el concepto de “tratamiento de datos personales de categorías especiales”, por lo que a ambos se extiende la prohibición general del artículo 9.1 del reglamento.
La AEPD también indica que únicamente cabe excepcionar la prohibición de tratamiento de los datos de categoría especial cuando exista norma de rango legal -o convenio colectivo- que obligue a la empresa a tratar los datos biométricos (artículo 9.2.b) del Reglamento), es decir, que el tratamiento de datos biométricos sea “necesario”, o cuando medie consentimiento explicito por parte del interesado (empleado o tercero que acceda a las instalaciones) para el tratamiento de dichos datos personales (artículo 9.2.a) del Reglamento).
La AEPD considera que la normativa española es insuficiente, en los términos previstos en el Reglamento, para que se justifique la necesidad de tratar datos biométricos para llevar a cabo el registro de jornada laboral. Asimismo, en caso de que el convenio colectivo aplicable incluyera el registro de jornada basado en datos biométricos de la persona trabajadora, se debería justificar la necesidad de este tratamiento, aportando las razones por las cuales no son adecuados los sistemas existentes como tarjetas, certificados, sistemas contactless, etc.
Igualmente se establece que, de acuerdo con las precitadas directrices 05/2022, en las relaciones laborales existe un desequilibrio de poder entre el empleado y el empleador, lo que impide que el consentimiento se otorgue de manera libre, sin que ello resulte una base jurídica idónea.
En definitiva, en virtud del nuevo criterio apuntado, las empresas deberán revisar sus sistemas de registro horario o de control de accesos que conlleven tratamiento de datos biométricos para determinar si es posible seguir utilizándolos (lo que auguramos muy complicado por cuánto la empresa debería poder acreditar objetivamente la necesidad e idoneidad de estos sistemas de tratamiento-) o, por el contrario, deberán proceder a implementar otros sistemas más “respetuosos” con los derechos fundamentales de las personas trabajadoras.
Raül Sala Cuberta y Judit Figueras Mousnier, abogados de Ortega Condomines.
