En los últimos años, el avance de la tecnología ha transformado la forma en que las empresas gestionan sus procesos internos. Uno de los cambios más visibles ha sido la incorporación de sistemas biométricos para el control de los trabajadores a la hora de fichar, tanto en su entrada como salida del horario laboral. Los dispositivos utilizados reconocen huellas dactilares, rostros, iris o incluso el reconocimiento de la voz, siendo una manera de garantía y seguridad de que la persona realice por sí misma el fichaje.
Este tipo de reconocimientos, se presentan como soluciones para las organizaciones que lo implementan con la intención de prevenir fraudes, cumplir la obligación legal de registrar la jornada laboral y optimizar la gestión personal. No obstante, la adoptación de estos sistemas ha creado controversias jurídicas y éticas.
El marco aplicable en España para el uso de tecnologías biométricas en el ámbito laboral, se regula principalmente por el Reglamento General de Protección de Datos, considerando los datos biométricos como categoría especial de datos personales, ya que permiten identificar de manera única a la una persona física, su tratamiento esta prohibición salvo en determinadas excepciones recogidas en el artículo 9.2 del RGPD. A nivel nacional, nos encontramos la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos digitales, que viene a realizar la transposición del Reglamento a la normativa nacional.
¿Por qué los datos biométricos son tan sensibles?
Los sistemas de fichaje biométrico funcionan a través de características físicas o comportamentales del trabajador que son únicas e intransferibles. A diferencia de lo que ocurre con las contraseñas o tarjetas de acceso, los datos biométricos no puede ser modificados, revocados ni restablecidos en el caso de que se vean comprometidos. Lo que les convierte en una forma de autenticación especialmente sensible y con un nivel del riesgo inherente muy elevado.
En el caso de que hubiera una brecha de seguridad y los datos fueran filtrados, robados o utilizados de manera indebida, las consecuencias para la privacidad del trabajador puede ser especialmente graves y permanentes. Además, a ello se le suma la utilización de este tipo de tecnologías que puede llegar a implicar un control y vigilancia continua sobre la persona, llevando a un impacto negativo sobre los derechos fundamentales, como a la intimidad o libertad personal dentro de entorno laboral.
Por todo lo anterior, la implementación debe evaluarse como extremo cuidado, y garantizando siempre el cumplimiento de la normativa de protección de datos y los principios que la rigen.
¿Qué establece la AEPD sobre el uso de la biometría en el ámbito laboral?
Respecto al uso de esta tecnología como medio de control de la jornada laboral, la AEPD establece un criterio restrictivo de los sistemas biométricos con dichos fines. La utilización a priori no se presume justificada y solo se podrá admitir si se cumplen condiciones muy estrictas dentro del marco normativo establecido.
El principio de proporcionalidad, es clave para la toma de decisiones respecto a su implementación. De acuerdo con el artículo 5.1.c del RGPD, el tratamiento de datos debe ser adecuado, pertinente y limitado a lo necesario. Por tanto, el so de sistemas biométricos solo será legítimo si no existe una alternativa menos intrusiva que permita alcanzar los objetivos.
La organización que se plantee implementar dichos sistemas, tendrá que realizar una evaluación de impacto, se establece como una obligación legal previa al uso de la biometría. Como se ha mencionado anteriormente, estos datos están categorizados como especiales, conforme al artículo 9 del RGPD, por ello se requiere esta evaluación conforme a lo establecido en el artículo 35 del Reglamento. Se deberá analizar los riesgos que el tratamiento puede suponer para los derechos y libertades de los trabajadores, y establecer medidas técnicas y organizativas para mitigar o prevenir los riesgos que se pudieran derivar de su uso.
Además, será imprescindible por parte de la empresa informar de manera transparente y previa a los trabajadores sobre el uso de estos sistemas, indicando los siguientes aspectos
- Finalidad del tratamiento, siendo exclusivamente para el control en el entorno laboral.
- Legitimación del tratamiento, para el cumplimiento de las obligaciones laborales.
- Las medidas de seguridad que adoptará la empresa, siendo estas técnicas y organizativas para proteger los datos.
- Conservación de los datos, siendo únicamente durante el tiempo necesario.
- Derechos de los trabajadores, en relación con el acceso, rectificación, oposición, limitación o a suprimirlos, conforme a la normativa vigente.
Sanciones aplicadas por la AEPD ante infracciones en protección de datos
La AEPD en los últimos años ha intensificado la supervisión y control sobre la implementación de los sistemas biométricos en el ámbito laboral, especialmente aquellos utilizados para el control de horario de los empleados. Este refuerzo está enmarcado dentro de una preocupación creciente por el uso desproporcionado de tecnologías intrusivas.
Por ello, durante los años 2023 y 2024 la AEPD ha iniciado e instruido procedimientos sancionadores derivando de ellos multas significativas a organizaciones que adoptaron los sistemas de control de la jornada laboral basado en estos sistemas con huella dactilar o reconocimiento facial, sin contar con la base jurídica válida, ni realización de una evaluación de impacto en protección de datos, o sin facilitar alternativas menos intrusivas.
Por ejemplo, en la memoria anual de la AEPD del 2024 nos informan que se han resuelto diversos procedimientos sancionadores vinculados al tratamiento de datos biometricos, dos de los casos de los que se mencionan en la memoria, son los siguientes:
- Ayuntamiento de Telde- PS/00074/2024: El procedimiento se inició como consecuencia de la implantación de un sistema de control de jornada que combinaba tres mecanismos simultáneos, como el reconocimiento facial biométrico como parte principal, una aplicación móvil con la geolocalización y conexión mediante acceso web. Este tratamiento de datos infringía los siguientes preceptos del RGPD, y en concreto los artículos 9, 35,38. La AEPD, ante estas infracciones, impuso las medidas correctivas dirigidas a garantizar la adecuación del sistema a la normativa de protección de datos.
- Ayuntamiento de Fuentepelayo – PS/00545/2023: El expediente se abrió tras la reclamación de un trabajador por la implantación de un sistema de control horario basado en la captura de la huella dactilar, en este caso no se informó de manera previa a los empleados, sin una evaluación de impacto y sin justificar de manera adecuada la necesidad del uso de estos datos. Además, a lo anterior se dio de manera paralela, que los trabajadores también cumplimentaban una hoja de control horario de forma manual, lo que evidencio la falta de necesidad y proporcionalidad en el tratamiento implantado. La AEPD, no llego a imponer medidas correctivas ni multa económica, ya que el sistema fue suprimido por deficiencias funcionales.