El tratamiento de datos biométricos en el registro de jornada ha sufrido cambios
El tratamiento de datos biométricos en el registro de jornada estaba hasta ahora permitido. Al menos, desde 2007, cuando el Tribunal Supremo consideró que fichar con huella dactilar en el registro de jornada no infringía ninguna ley. Todo ha cambiado desde abril de 2023, cuando el Comité Europeo de Protección de Datos publicó unas directrices que cambiaban el criterio. Esto implica para la AEPD que el procesamiento de datos biométricos suponen tratamiento de datos personales con categoría de datos especiales, por tanto les afecta la prohibición del artículo 9.1 del RPGD. En Extra Software recomendamos el uso de sistemas alternativos a los biométricos para el Registro de Jornada, como la validación por contraseña personal o tarjetas de fichaje.
CONTENIDOS
El cambio de criterio en el tratamiento de datos biométricos
La Guía de la Agencia Española de Protección de Datos (AEPD)
Prohibición del tratamiento de datos de categorías especiales
Otras excepciones a la prohibición
El cambio de criterio en el tratamiento de datos biométricos
El origen parte del artículo 12 de las directrices del Comité Europeo de Protección de Datos referidas al uso de tecnología de reconocimiento facial.
Hasta entonces, se mantenía la distinción en la verificación biométrica entre autenticación (uno-a-uno) e identificación (uno-a-varios), considerándose el uso de datos biométricos válido en el primer caso, aunque no en el segundo, el caso del registro de jornada. Sin embargo, dicho artículo 12 estableció que “Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de información personal”. Por tanto, estos datos son objeto de la prohibición de su uso que establece el artículo 9.1 del RGPD, que establece que “queda prohibido el tratamiento de datos biométricos dirigidos a identificar a una persona física”.
La Guía de la Agencia Española de Protección de Datos (AEPD)
Estas directrices han obligado a la AEPD (Agencia Española de Protección de Datos) a finales de noviembre a rectificar el planteamiento que tenía hasta entonces (el de la Guía “La Protección de Datos en las Relaciones Laborales” de mayo de 2021); y publicar una nueva “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”. En esta se puntualizan las últimas implicaciones del uso de este tipo de información personal. La Guía habla del tratamiento de datos biométricos en el registro de jornada.
En resumen, la Guía establece que la utilización de tecnologías biométricas de identificación y autenticación en el registro de jornada supone un tratamiento de alto riesgo, dado que incluye categorías especiales de datos y por tanto está prohibido por el artículo 9.1. del RGPD.
Prohibición del tratamiento de datos de categorías especiales
Dado que son categorías especiales de datos, es necesario que exista una circunstancia para levantar la prohibición de tratamiento de estos datos y, además, una condición que legitime el tratamiento. A este respecto la Guía establece lo siguiente:
- En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento (artículo 9.2.a) del RGPD) no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado (empleado) y el responsable del tratamiento de datos (empleador).
- Si el levantamiento de la prohibición se basa en el 9.2.b) del RGPD, el responsable del tratamiento de datos debe contar con una norma con rango de ley que legitime su necesidad de utilizar datos biométricos para dicha finalidad. Esta norma no se encuentra en la actual regulación española.
En cualquier caso, previamente al tratamiento de datos, sería obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la necesidad del Responsable de Tratamiento de datos de registrar los datos biométricamente, superando el triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos. El tratamiento debe ser necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento de datos. Dado que en este caso existen medios alternativos de registro de jornada, el tratamiento de datos personales obtenidos biométricamente no resiste el triple análisis de idoneidad, necesidad y proporcionalidad. Como tampoco hay una ley que diga lo contrario (artículo 9.2.b de RGPD), ni el consentimiento puede levantar la prohibición (artículo 9.2.a del RGPD) eso implica que, de facto, está prohibido usar estos sistemas que permiten el tratamiento de datos biométricos en el registro de jornada.
Otras excepciones a la prohibición
El artículo 9 del RGPD establece también otras excepciones a la prohibición, pero no parece que sean de mucha aplicación en el caso del uso de la biometría en el registro de jornada. Estas excepciones están recogidos en los artículos 9.2.c. a 9.2.j de la norma, y recogen casos como que el tratamiento sea necesario para proteger intereses vitales del interesado, atender a reclamaciones, con fines de interés público esencial, medicina preventiva, laboral, salud pública, o bien investigación científica, histórica o estadística de interés público.
Como en el caso del registro de jornada la biometría no se utiliza para los fines que se mencionan, salvo que se publique ley que legitime la necesidad del tratamiento para el cumplimiento de los intereses y ejercicio específico de los derechos el responsable de los datos (por tanto, el empleador), no hay en la práctica excepciones a la prohibición de tratar datos biométricos para el registro de jornada.
Desde Extra Software, recomendamos a todas nuestras empresas clientes que utilicen sistemas alternativos para el registro de jornada, como el uso de contraseña personal o tarjeta de fichaje.