Desafíos legales en el uso de datos biométricos en el entorno laboral
El tratamiento de estos datos requiere una autorización específica, ya que el consentimiento no puede invalidar la prohibición
El uso de datos biométricos para la identificación en el entorno laboral sigue siendo una incógnita legal, especialmente con la reciente publicación, el 23 de noviembre de 2023, de la Guía tratamientos de control de presencia mediante sistemas biométricos por parte de la Agencia Española de Protección de Datos (AEPD). Este documento destaca la necesidad de revisar los criterios para garantizar que el tratamiento de estos datos cumpla con el riguroso Reglamento General de Protección de Datos (RGPD).
Según el artículo 4.14 del RGPD, los datos biométricos son aquellos obtenidos mediante un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales que permitan la identificación única de una persona. La AEPD aclara que el uso de sistemas biométricos implica tratar categorías especiales de datos de alto riesgo, exigiendo una base normativa con rango de ley para levantar la prohibición.
En contextos laborales, el tratamiento de estos datos requiere una autorización específica, ya que el consentimiento no puede invalidar la prohibición, dado el desequilibrio entre el sujeto (el trabajador) y el responsable del tratamiento (el empleador). Además, la rápida evolución de los sistemas biométricos añade complejidad al panorama, destacando la necesidad de una evaluación de impacto para la protección de datos antes de iniciar el tratamiento.
Dicho lo cual, es crucial contextualizar este escenario legal con el acuerdo histórico para regular la inteligencia artificial en la Unión Europea. Aunque aún no hay una ley específica, las prohibiciones fundamentales en este acuerdo son esenciales. Se prohíben sistemas biométricos invasivos, sistemas de clasificación social por puntuación y la manipulación de usuarios vulnerables. Sin embargo, se permiten excepciones para el uso de sistemas de identificación biométrica en espacios públicos con fines policiales, sujetos a autorización judicial y enfocados en personas condenadas o sospechosas de delitos graves.
El acuerdo establece obligaciones duras para los sistemas de IA de alto riesgo, incluyendo una evaluación del impacto en los derechos fundamentales. Esto se aplica en sectores como banca, seguros, resultados electorales y comportamiento de los votantes.
A pesar de las controversias, el consentimiento del trabajador no es suficiente para levantar la prohibición del tratamiento biométrico en el registro de jornada. Incluso con el consentimiento explícito de los trabajadores, no se cumple el requisito de "necesidad" para el tratamiento de datos biométricos según el RGPD (art. 4.11). La Guía tratamientos de control de presencia mediante sistemas biométricos subraya que el consentimiento sólo sería válido si existe una alternativa de libre elección para cumplir con la obligación de registrar la jornada.
En resumen, el consentimiento no levanta la prohibición del tratamiento biométrico en el registro de jornada, y la necesidad debe ser evaluada rigurosamente para garantizar la protección de los derechos y libertades de los trabajadores. En este complejo escenario legal, es fundamental buscar asesoramiento de abogados especializados en protección de datos para navegar con seguridad por estas aguas jurídicas en constante cambio. Además, es importante estar al tanto de las regulaciones y acuerdos históricos que puedan impactar directamente en el uso de tecnologías biométricas en el entorno laboral, como el acuerdo histórico para regular la inteligencia artificial.
Felipe Herrera Herrera, socio gerente en AB Legal, abogado y delegado de Protección de Datos.