El desarrollo de la Inteligencia Artificial ha dado lugar a numerosos cambios en el ámbito normativo, social y tecnológico.
Últimamente, se ha hecho bastante popular en diferentes entidades el uso de sistemas biométricos para realizar el registro de jornada laboral y/o el control de accesos. La utilización de este tipo de sistemas hasta ahora aparentaba ser más práctico, sencillo y rápido, pero ¿qué es lo que dice la Agencia Española de Protección de Datos (en adelante, AEPD) de todo esto?
Pues bien, la AEPD ha publicado el pasado 24 de noviembre su Guía sobre Tratamientos de Control de Presencia mediante Sistemas biométricos “tirando por tierra” este tipo de sistemas y abogando por la prohibición de los tratamientos biométricos para los controles de presencia, es decir, tanto para el registro de la jornada laboral como para el control de accesos con fines laborales o con otras finalidades.
En primer lugar, no debemos olvidar que el RGPD prohíbe de manera general el tratamiento de lo que denomina como “categorías especiales de datos”, entre los cuales se encuentran los datos biométricos utilizados para identificar de manera unívoca a una persona física (como ocurre cuando realizamos el registro de la jornada laboral mediante huella).
Bien es cierto, que el propio RGPD recoge varias excepciones a la propia prohibición que él mismo impone, por lo que para llevar a cabo el registro de jornada o el control de accesos mediante la utilización de datos biométricos, tendremos que comprobar si la prohibición puede levantarse a través de alguna de estas excepciones. Dentro de las excepciones contenidas en el RGPD, para el caso que nos ocupa, solo cabría tener en cuenta los dos siguientes:
–Autorización de una norma europea o nacional o de un convenio colectivo: si es preciso cumplir obligaciones o ejercer derechos en el ámbito del Derecho laboral y de la seguridad y protección social es necesario que exista una habilitación legal.
–Consentimiento de los empleados, el cual ha de ser informado y otorgado de forma específica, inequívoca y libre.
¿Por qué estas excepciones ya no nos sirven para justificar este tipo de tratamiento?
Hasta ahora, se entendía que este tratamiento podía estar justificado porque el Estatuto de los Trabajadores (arts. 20.3 y 34.9) lo legitimaba (autorización de una norma nacional). Sin embargo, ahora la AEPD rectifica y señala que estos artículos no son suficientes porque no mencionan expresamente el tratamiento de datos biométricos y porque no recogen las garantías que deben aplicarse en la protección de la privacidad de los empleados.
Por otro lado, la Agencia indica que el consentimiento tampoco puede ser una base de legitimación para este tipo de tratamientos, ya que en una relación empleador-empleado es muy poco probable que el trabajador otorgue de manera verdaderamente libre su consentimiento, debido a la posición de superioridad que tiene la empresa sobre él.
Sin embargo, no se cierra del todo la puerta a la posibilidad de que el consentimiento pueda ser otorgado de manera libre. Para ello, debería disponerse de una alternativa para que aquellos empleados que no consientan el tratamiento de datos biométricos no se vean obligados a utilizar estos sistemas de identificación. Sin embargo, si esta alternativa es menos invasiva para la privacidad de los trabajadores, el tratamiento de datos biométricos no es indispensable y, por tanto, en virtud del principio de minimización de datos personales (“solo podemos recabar aquellos datos mínimos necesarios para cumplir con la finalidad prevista”), no sería proporcional y no podría llevarse a cabo.
Así pues, mientras no exista una norma europea o española que regule de manera expresa estos controles, la única solución posible para tratar este tipo de datos en el ámbito laboral sería recogerlo expresamente en un convenio colectivo, siempre sin perder de vista el resto de requisitos que la AEPD establece en esta nueva Guía.
A tenor de esta guía, podemos concluir, que el criterio de la AEPD hace que sea enormemente complicado, por no decir imposible, utilizar sistemas de identificación biométrica para fines de registro de jornada o control de accesos en las empresas, por lo que nuestra recomendación es que se utilicen otras alternativas que no impliquen datos biométricos para, de este modo, evitar posibles sanciones por incumplimiento de la normativa de protección de datos.
Si tenéis alguna consulta adicional, recordad que desde Proconsi contamos con un servicio de auditoría y adecuación en materia de protección de datos, para ayudaros en la implantación de las medidas técnicas y organizativas más adecuadas en cada caso que os permitirán cumplir con la legislación vigente y proteger vuestros datos.