Los datos biométricos y el registro de jornada laboral
Este artículo profundiza sobre el tratamiento de datos biométricos en sistemas de registro horario de la jornada laboral, considerando las nuevas resoluciones de la Agencia Española de Protección de Datos (AEPD). Dicho artículo refleja un cambio en el criterio de la AEPD, que inicialmente permitía el uso de datos biométricos como la huella dactilar para el registro de jornada. Sin embargo, los nuevos criterios han hecho casi imposible su uso para este fin, a pesar de algunas excepciones, y contrasta con las posiciones de otras autoridades de control.
¿Qué son los datos biométricos según el RGPD?
Los datos biométricos, según el RGPD, son datos personales obtenidos a través de tratamientos técnicos específicos que identifican o confirman la identidad única de una persona mediante características físicas, fisiológicas o conductuales. Esto incluye elementos como imágenes faciales o huellas dactilares. Sin embargo, las imágenes no son consideradas datos biométricos a menos que se procesen con técnicas especiales para la identificación o autenticación. La biometría implica el análisis de características distintivas, únicas e intransferibles de las personas, donde un manejo inapropiado puede tener consecuencias significativas.
Datos biométricos como categoría especial
Los datos biométricos se consideran de categoría especial bajo el RGPD cuando se usan para identificar de manera única a una persona. La AEPD originalmente diferenciaba entre autenticación (verificación individual) e identificación (comparación con múltiples individuos), calificando solo esta última como categoría especial.
La autenticación (verificación individual) implica comparar los datos biométricos de una persona con los suyos propios previamente almacenados para confirmar su identidad. Es un proceso uno a uno, como cuando usas tu huella para desbloquear tu teléfono. Por otro lado, la identificación (comparación con múltiples individuos) involucra comparar los datos biométricos de una persona con una base de datos que contiene información de muchas personas, para ver si coincide con alguno. Es una comparación de uno a varios, utilizada, por ejemplo, en la identificación de sospechosos por la policía.
Sin embargo, la APDCAT argumenta que ambos tipos deben ser tratados como categoría especial, requiriendo excepciones específicas para su uso legal. Esto es importante en casos como el uso de reconocimiento facial en universidades, donde se aplican rigurosas sanciones si no se cumplen estas normas.
Actualización normativa de la AEPD sobre el tratamiento de datos biométricos
La Agencia Española de Protección de Datos cambió su enfoque sobre los datos biométricos tras la publicación de las «Guidelines 05/2022» del EDPB sobre el uso de tecnología de reconocimiento facial en la aplicación de la ley. Estas directrices, que ahora son definitivas, sugieren que los datos biométricos utilizados para identificar o autenticar personas deben ser considerados de categoría especial. Esto implica que su tratamiento debe cumplir con excepciones específicas según el artículo 9.2 del RGPD para ser legal.
La AEPD utilizaba ciertas bases legales para permitir el uso de datos biométricos en el registro de jornada laboral. Sin embargo, no había leyes específicas que autorizaran este uso, y recientemente la AEPD cambió su enfoque. Ahora indica que no es adecuado usar datos biométricos para el registro de jornada a menos que se cumplan ciertas excepciones del RGPD. Este cambio refleja una mayor preocupación por la privacidad y la protección de datos personales sensibles.
Consentimiento y alternativas en el uso de datos biométricos para el registro de jornada laboral
Algunas autoridades han sugerido que el consentimiento de los empleados podría permitir a los empleadores usar sistemas biométricos, como el reconocimiento facial, para el control de horas trabajadas. Sin embargo, hay preocupaciones sobre si este consentimiento es verdaderamente libre, dado que los empleados podrían no tener alternativas reales.
La Autoridad Catalana de Protección de Datos (APDCAT) en su Dictamen CNS 19/2023, y el Consejo de Transparencia y Protección de Datos de Andalucía en su Dictamen 1/2023, coinciden en que el consentimiento podría ser válido si se ofrece a los empleados una alternativa que no implique el uso de datos biométricos. Por ejemplo, podrían usar una tarjeta o un código en lugar de un sistema biométrico.
Ambas autoridades enfatizan la necesidad de realizar una evaluación de impacto sobre la protección de datos antes de implementar estos sistemas. Esto incluye analizar la legalidad, proporcionalidad y necesidad del tratamiento de datos biométricos. La autoridad británica también respalda esta visión en su guía sobre prácticas laborales y protección de datos. En resumen, el consentimiento puede ser una base legal para el uso de datos biométricos en el registro de jornada, siempre que se ofrezcan alternativas y se realice una evaluación de impacto detallada.
El enfoque de la AEPD sobre el uso de datos biométricos en el ámbito laboral
La Agencia Española de Protección de Datos (AEPD) ha emitido una guía que, aunque no es normativa, sí orienta las futuras decisiones en este ámbito. Esta guía es un reflejo de la actual interpretación de la normativa legal española en relación con el Reglamento General de Protección de Datos (RGPD), especialmente en lo que respecta al artículo 9.2 b).
La AEPD ha recalibrado su postura, haciendo hincapié en que cualquier tratamiento de datos biométricos para el registro de jornada debe someterse a un exhaustivo examen de necesidad, idoneidad y proporcionalidad. Además, es imprescindible llevar a cabo una Evaluación de Impacto sobre la Protección de Datos (EIPD) antes de implementar tales sistemas.
Un aspecto crítico en este debate es el consentimiento. Dada la posible desigualdad de poder en las relaciones laborales, el consentimiento puede no ser siempre «libre». La AEPD sugiere que la existencia de opciones al tratamiento de datos biométricos podría garantizar un consentimiento genuinamente libre. Sin embargo, si existen alternativas menos intrusivas, esto podría indicar que el tratamiento biométrico no es necesario, incumpliendo así el artículo 5.1 c) del RGPD.
¿Qué significa esto para las empresas? No se descarta por completo el uso de datos biométricos. Podría justificarse en situaciones donde otros métodos hayan resultado ineficaces. No obstante, la necesidad, idoneidad y proporcionalidad de tal tratamiento deben demostrarse claramente a través de una EIPD.
En contextos específicos, como el control de acceso por razones de seguridad en sectores estratégicos, esta necesidad debe evaluarse desde una perspectiva diferente. Además, si el tratamiento se establece en una norma con rango de Ley o en un convenio colectivo, la necesidad de este debe ser igualmente acreditada.
En resumen, la posición de la AEPD plantea retos significativos para las empresas que deseen implementar sistemas biométricos para el registro de jornada.
Desde nuestro despacho de abogados, recomendamos una evaluación cuidadosa y la consideración de alternativas menos intrusivas, asegurando siempre el cumplimiento de las normativas vigentes en materia de protección de datos.
Sobre el autor:
Gerard Espuga
Asociado DiG Advocats