Últimamente se ha hecho eco de los pronunciamientos de la Agencia Española de Protección de Datos (AEPD) en relación a la posibilidad de usar datos biométricos en tecnologías de control de presencia.
¿Qué son los datos biométricos?
Cuando hablamos de datos biométricos nos referimos a todo dato relacionado con las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esta persona.
El ejemplo más común de dato biométrico es la huella dactilar, pero merece esta consideración cualquier dato que permita o confirme la identificación única de una persona. Otros ejemplos muy comunes en la práctica son la combinación única de nuestros rasgos faciales o el iris de nuestros ojos.
La principal característica de estos datos son que: (i) permiten identificar de manera única a la persona; y (ii) que provienen de características físicas, fisiológicas o conductuales. Esta última característica es esencial para diferenciar estos datos de otros tipos que también permiten identificar única e inequívocamente a una persona, como por ejemplo el número de DNI. Dichos dígitos también permiten identificar únicamente a cualquier persona, pero no pueden ser considerados como biométricos pues no se genera por medio de características físicas, fisiológicas y/o conductuales.
Cabe destacar que no se considera tratamiento de datos biométricos el mero hecho de usar datos a partir de los cuales pueden extraerse datos biométricos. Por poner un ejemplo, el mero hecho de usar una cámara de videovigilancia, donde se vea a la perfección los rasgos faciales de una persona, no implica un tratamiento de datos biométricos. Para que se consideren tratados dichos datos es necesario que se realice un tratamiento específico a fin de obtener y realizar cualquier acción en relación con datos biométricos. O, dicho de otro modo, es necesario que dicho tratamiento sea capaz de reconocer los rasgos únicos de dicha persona. Si no es capaz de reconocerlos, aunque recabe los datos de estos rasgos, no se considera tratamiento de datos biométricos.
Sin embargo, lo anterior no quita que se deban adoptar medidas de seguridad y de gestión de riesgo por parte del responsable para evitar que se usen dichos datos para obtener los datos biométricos, lo cual en ocasiones resulta casi imposible visto el estado de la tecnología.
Marco legal
El ámbito normativo de este tipo de datos viene determinado en esencia por el art. 9 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (“RPGD” en adelante).
El RGPD prevé la peligrosidad de usar este tipo de datos y por ello les da la consideración de “categoría especial de datos”. Esto supone que su uso, como regla general, está prohibido salvo las excepciones expresamente previstas.
En lo que respecta al registro de jornada, cabe destacar de entre este largo listado, dos posibles excepciones que parecen ser los más comunes a todas las empresas:
- Consentimiento expreso del interesado, ósea del afectado
- Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social
Consentimiento expreso del interesado
El consentimiento suele ser la piedra angular de todas las empresas responsables para articular estos tratamientos de datos.
Ahora bien, el problema con los registros de jornada es el contexto en el que se sitúan. Como bien decía la Comisión Europea de Protección de Datos en sus Directrices 5/2020, de 4 de mayo de 2020, sobre el consentimiento: Dada la dependencia que resulta de la relación entre el empleador y el empleado, no es probable que el interesado pueda negar a su empleador el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales. Esto lleva a la AEPD a hacer una aproximación restrictiva sobre la validez de este tipo de tecnologías en el registro de jornada, exigiendo al responsable que para considera valido el consentimiento debe ofrecerse una alternativa real y menos invasiva al trabajador que no acarree el uso de datos biométricos. En tal sentido algunos clientes nuestros han llegado a ofrecer a los trabajadores elegir entre usar su dato biométrico o, alternativamente, un código o una tarjeta contact-less.
Una circunstancia que se agrava si se tiene en cuenta que el uso de un registro de jornada resulta obligado por ley, lo cual justifica el tratamiento en sí. Por ende, el consentimiento se prestaría sobre el uso de esta tecnología (con datos biométricos) para la finalidad de llevar un registro de jornada.
Sin embargo, la existencia de esta tecnología equivalente menos invasiva es la que hace llevar a la AEPD a considerar que nunca es posible considerar valido el consentimiento. Puesto que opina que en tal caso habrá que usar esta tecnología menos invasiva. En este punto hay que destacar que estas opiniones no son vinculantes ni se tienen por qué seguir para la aplicación de la ley, pero es conveniente tenerlo en cuenta puesto que es el criterio a usará contra las empresas.
Desde nuestro punto de vista, consideramos que esta interpretación llevaría necesariamente a que cualquier tratamiento de datos, con un nivel de riesgo alto, sea de facto imposible de emplear. Ello debido a que toda tecnología tiene un homónimo menos “invasivo”, pero que a un responsable o a los interesados puede resultar menos rentable. Esta interpretación iría en contra del propio espíritu de la norma, la cual no pretende frenar el avance tecnológico y su utilización. Todo lo contrario, reconoce su infrenable desarrollo y avance, si bien exige que se implementen las medidas necesarias para respetar los derechos y libertades de los ciudadanos sobre sus propios datos.
Tratamiento necesario para cumplir obligaciones y derechos de Derecho laboral
La referida excepción hace mención de que exista una necesidad que vaya a ser cubierta a través de esta tecnología, y que la misma haya sido autorizada por el ordenamiento jurídico o por un convenio colectivo.
En este punto, la AEPD de nuevo realiza una interpretación sumamente restrictiva resumiendo su punto de vista en dos cuestiones:
- Que el legislador debe determinar las reglas en el ordenamiento jurídico que hagan previsible esta afección sobre el derecho de protección de datos de los interesados. Esto le lleva a defender que no es previsible en la normativa española permita usar esta tecnología, en el contexto de registros de jornada, cuando no se concreta esta posibilidad en dicho ordenamiento.
- Y, en todo caso, que dicho tratamiento sea “necesario” lo cual obliga al responsable a justificar si es esencial para satisfacer esa necesidad, y no sólo lo más adecuado o rentable, así como, la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar.
En tal sentido, cabe atribuir la razón a la AEPD en la medida que la normativa española apenas prevé esta posibilidad. Una circunstancia que, en parte, puede deberse a la propia naturaleza del derecho laboral. El Derecho laboral en una amplia gama de cuestiones no hace alusiones expresas sobre determinaras cuestiones, dejándolas a lo que se venga a convenir en los Convenios colectivos. Sin embargo, desde nuestro punto de vista, ello no parece ser el caso puesto que hasta no hace poco algunas cuestiones esenciales de protección de datos en materia laboral (como el uso de dispositivos de geolocalización o cámaras de seguridad), no estaban expresamente reguladas en el ordenamiento español.
Entonces, ¿es posible su uso?
La respuesta resulta sumamente relativa, pero como regla general nuestra recomendación es no usar dicha tecnología en pos de evitar posibles sanciones y responsabilidades civiles.
Si bien, las opiniones anteriormente expuestas de la AEPD son muy discutibles y, de hecho, han sido muy criticadas por muchos referentes en la materia. También lo es que, desde un punto de vista empresarial y de compliance cuando se lidia con cuestiones de protección de datos, conviene actuar con prudencia inclinándonos por aquellas decisiones que resulten menos dañosas para los particulares. Máxime cuando las posibles consecuencias sancionadoras pueden llegar a ascender a cantidades astronómicas.