Novedades de la Agencia Española de Protección de Datos (AEPD) respecto al control de presencia y la gestión de datos biométricos en el registro de jornada laboral.
Jornada de trabajo y sistemas de control
Con la normativa sobre el registro de Jornada laboral, aprobada el 8 de marzo de 2019 por el Real Decreto -Ley de Protección Social y de Lucha contra la Precariedad Laboral en la jornada de Trabajo comenzaron a comercializarse distintos sistemas de control de la jornada laboral y muchos de ellos utilizaban el tratamiento de datos biométricos.
El tratamiento de datos biométricos para esta finalidad no ha estado exento de opiniones diversas y de diversos informes de la AEPD y de las Agencias Autonómicas.
Uso de datos biométricos para el control de empleados
La Guía de la AEPD recientemente publicada el pasado 23 noviembre de 2023 parece que cierra filas y limita el uso de los datos biométricos para el control de presencia o control de acceso de empleados a situaciones muy determinadas, aunque no siempre ha sido así.
Hasta ahora el consentimiento del afectado, si había alternativas al tratamiento de los datos biométricos, se estimaba como una base legitimadora lícita.
El consentimiento no es libre cuando se trata de empleados
Ahora se recurre a un argumento que ya venía utilizando la AEPD hace tiempo en materia de relaciones laborales, y es que el consentimiento prestado por los empleados no es libre debido a que existe un desequilibrio entre la persona a que se somete al tratamiento y quien lo está llevando a cabo (trabajador v. empresa). El consentimiento del afectado deja, pues, de ser base legitimadora.
El cumplimiento de obligaciones en el ámbito laboral como base legitimadora
También se llegó en algún momento a legitimar el tratamiento de categorías especiales de datos en base al cumplimiento de las obligaciones laborales o de una obligación legal (artículo 9.2 b del RGPD) , según la cual la prohibición general de tratamiento de datos de categorías especiales no sería de aplicación cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
Al respecto la AEPD declaraba que, en el ordenamiento español, el artículo 20 del Estatuto de los Trabajadores preveía la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores.
Recordemos dicho precepto legal:
«El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad”.
Muchas han sido las empresas que han implantado un sistema de control de acceso con huella dactilar o con reconocimiento facial al amparo de estas resoluciones de la AEPD.
Sin embargo, parece que los criterios sobre el tratamiento de datos biométricos para el control de la jornada/ presencia han cambiado como consecuencia, dice la propia AEPD, de los cambios en el contexto normativo, social y tecnológico.
¿Cambio de criterio del regulador?
La AEPD aconseja, siempre recordar los principios de minimización de datos y protección desde el diseño y por defecto, sobre cuya base se deben explorar alternativas menos intrusivas, aunque no sean tecnológicas -la elección de tecnologías debería perseguir precisamente el principio de minimización del dato- para conseguir la finalidad perseguida de controlar la jornada/presencia.
Para implementar el tratamiento que pretende el control de acceso en la empresa el responsable del tratamiento debe decidir si utilizar medios, humanos, técnicos u organizativos para ejecutarlo.
Cuando se opta por el uso de la tecnología y en particular de la biometría es posible su implementación, bien utilizando la identificación o bien, la autenticación.
La propia AEPD reconoce en esta Guía que, si bien en su guía «La Protección de Datos en las Relaciones Laborales” y en el Informe Jurídico N/REF: 010308/2019, consideraba que la biometría utilizando la autenticación para la implementación de los tratamientos de registro de presencia «no suponía un tratamiento de categorías especial de datos», está interpretación ya ha sido superada por las Directrices de la CEPD del 26 de abril de 2023.
Tratar datos biométricos es tratar categorías especiales de datos
Concluye ahora la AEPD que ambos procesos, identificación y autenticación de los datos biométricos, son tratamientos de categorías especiales de datos.
Recordamos que los conceptos de identificación y autenticación no están definidos en el RGPD pero si lo están en el Reglamento 910/2014 del Parlamento Europeo (elIDAS).
Identificación identifica los datos de uno dentro de un grupo (uno-a-varios) y autenticación compara los datos de un individuo con los datos asociados a su identidad (uno-a-uno). Ambos procedimientos son tratamientos de datos de categorías especiales.
Dice la AEPD en su reciente Guía que el uso de la biometría supone un tratamiento de categorías especiales de datos debido al impacto en los derechos y libertades de las personas.
Sabido es que la licitud del tratamiento de categorías especiales de datos exige no sólo una de las condiciones del articulo 6.1 del RGPD, sino también levantar la prohibición del articulo 9 analizando de forma restrictiva las posibilidades que establece el artículo 9.2.
Base legitimadora para tratamientos de los datos
Respecto de la base legitimadora para el tratamiento de los datos, la AEPD se remitía al artículo 6 del RGPD apartado 1, letra b), el cual dispone que
“El tratamiento será lícito si se cumple al menos una de las siguientes condiciones: (…) b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales (…)”.
En virtud de este precepto, el tratamiento sería lícito y no requeriría el consentimiento, cuando el tratamiento de datos se realice para el cumplimiento de relaciones contractuales de carácter laboral. En este punto la AEPD precisaba que dicho precepto legal daba cobertura también al tratamiento de datos de los empleados públicos, aunque su relación no fuera contractual en sentido estricto.
No obstante, y en todo caso, era necesario informar de la medida a los trabajadores de manera completa, clara, concisa del tratamiento de conformidad con el articulo 13 del RGPD.
Para levantar la prohibición del articulo 9 del RGPD el responsable de tratamiento debería de acudir a las excepciones que recoge el articulo 9.2.
Consentimiento explícito del interesado
El consentimiento explícito del interesado, en principio no sería ahora aplicable. Ahora la AEPD dice que «sólo cuando existan opciones realmente equivalentes y disponibles para todos los trabajadores, se podría estudiar si el consentimiento sería válido, cumpliendo con los requisitos del art. 4.11 del RGPD y el resto de las condiciones del art. 7 del RGPD«.
La otra base de legitimación sería la establecida en el artículo 9.2. b) “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
Así la AEPD declaraba que el ordenamiento español en el artículo 20.3 del Estatuto de los Trabajadores, prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores.
Sin embargo, ahora la AEPD mantiene que dicha norma no sería suficiente en los términos previstos en el RGPD pues no se autoriza expresamente a un tratamiento de datos biométricos de acuerdo con esta nueva interpretación.
Evaluación de Impacto en la Protección de Datos
El levantamiento de la prohibición de tratamiento del articulo 9, que ya hemos visto que es difícil, no es el último obstáculo para el responsable, sino que sería también necesario realizar una Evaluación de Impacto en Protección de Datos (EIPD).
Un tratamiento de datos de categorías especiales utilizando procesos biométricos se considerará, dice la AEPD, de alto riesgo por, al menos el cumplimiento de los criterios correspondientes 4,5 y 10 que recoge la Lista de tipos de tratamiento de datos que requieren EIPD aprobada por el CEPD.
La EIPD debe demostrar la idoneidad, necesidad y proporcionalidad del tratamiento y gestionar desde el diseño, los riegos específicos del tratamiento, todo ello debidamente documentado.
Ello exige al responsable de tratamiento el cumplimiento del artículo 5.1 y 35.7.b del RGPD.
El requisito de que el tratamiento sea idóneo supone también demostrar que el tratamiento es el adecuado para conseguir el fin propuesto.
En resumen: La AEPD pone en tela de juicio La necesidad del tratamiento de los datos biométricos pues existen otros medios menos intrusivos que ya se están utilizando por las empresas, por lo que habría que justificar que no son adecuados.
Y la proporcionalidad, requiere demostrar si es proporcional y equilibrado su uso frente al nivel de intrusismo en los derechos y libertades de los trabajadores.
Los convenios colectivos y su impacto
Quedaría, no obstante, una opción válida para la utilización de la biometría del trabajador como sistema para llevar a cabo el registro de la jornada laboral de los trabajadores y es la existencia de Convenio Colectivo que lo legitime, así lo expresa el Dictamen de la APDCAT ref. CNS: 19/2023: que un Convenio Colectivo autorice el tratamiento de los datos biométricos para el control de la jornada.
Recordemos que el articulo 9.2 b del RGPD establece que se puede levantar la prohibición del tratamiento de las categorías especiales de datos si:
“el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral, de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y libertades de los interesados»
Tendremos oportunidad de ver si en el futuro los Convenios Colectivos recogen esta cuestión. Mientras tanto, quizás deberemos volver a analizar este tipo de tratamientos, si los estamos realizando en la actualidad y, en su caso, utilizar otros sistemas para evitar riesgos derivados de este cambio de criterio del regulador
Olga Guidotti
Consultar perfil
© Legal Compliance
Olga está acreditada desde 2018 como Delegado de Protección de Datos por la Asociación Española para la Calidad (AEC) con el número ES189881.
