Por Ana Belén Muñoz Ruiz, Profesora Titular de Derecho del Trabajo y de la Seguridad Social de la Universidad Carlos III Madrid.- Hace unos días, la Agencia Española de Protección de Datos (en adelante, AEPD) publicaba un nuevo documento que afecta a las empresas que hubieran implantado un sistema de control horario utilizando datos biométricos de las personas trabajadoras. Nos referimos principalmente al registro horario a través de la huella dactilar, pero el documento afecta a todos los datos biométricos (el reconocimiento facial o del iris, la voz, entre otros). Este documento cambia el criterio aplicado hasta ahora en España sobre la materia. Por este motivo, es importante analizarlo con detalle en nuestro Blog El Foro de Labos.
Para comprender el alcance de la modificación, resulta útil recordar cuál ha sido el criterio aplicado hasta ahora por la AEPD. Según la Agencia, el tratamiento de la huella digital para el control de acceso por los trabajadores podría considerarse una medida de control amparada en el artículo 20.3 del ET (y también en el artículo 34.9 ET), por lo que no exigiría el consentimiento del empleado. No obstante, para implantar esta medida debe aplicarse el principio de minimización; es decir, debe limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz e informar a la persona trabajadora sobre esta medida. La AEPD ha señalado en diversos informes que existen buenas prácticas que permiten el control a través de la huella digital sin que el sistema tenga que almacenar el dato biométrico (por ejemplo, por su incorporación a una tarjeta inteligente que se contrastase con la huella y se mantuviera siempre en poder del trabajador) (Informe 0324/2009, Documento de trabajo de la AEPD de 2018 y Guía La protección de datos en las relaciones laborales de 2021, pp. 30-32).
La misma doctrina ha sostenido también la Sala 3ª del Tribunal Supremo en la STS 2.7.2007 (Rº 5017/2003) y doctrina de suplicación (entre otras, la STSJ de Murcia de 25.1.2010, Rº 1071/2009). En la STSJ de Islas Canarias de 21.7.2007 (Rº 93/07), sobre idéntico asunto, se rechaza el argumento sindical de que este control horario reduzca las personas a un algoritmo, ya que el alcance del sistema no llega a tanto.
En este punto, la posición general en España fue distinta a la línea defendida por otros países (Austria, Francia, Italia y Noruega) que, advertían de los peligros del uso de los datos biométricos para el control horario y aplicaban una interpretación del artículo 9 del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) más garantista para los derechos de las personas empleadas. Vid. sobre este tema mi libro Biometría y sistemas automatizados de reconocimiento de emociones: implicaciones jurídico-laborales, editado en Tirant Lo Blanch en mayo de 2023.
A partir de noviembre de 2023 contamos con una nueva interpretación legal que formula la AEPD en la Guía sobre Tratamientos de Control de Presencia mediante Sistemas biométricos, teniendo en cuenta el criterio del Comité Europeo de Protección de Datos. En la nueva guía se establece lo siguiente:
- En la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. Ni los artículos 20.3 y 34.9 del ET para las personas trabajadoras ni el artículo 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP) para los empleados públicos constituyen una base legal para autorizar este uso en las empresas y en las entidades públicas. En el caso de que el convenio colectivo incluyera el registro horario basado en los datos biométricos de la persona trabajadora, se debería justificar la necesidad de este tratamiento y por qué no son adecuados los sistemas existentes como tarjetas, certificados, claves, sistemas contact-less, etc.
- En un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento de la persona empleada no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre la persona trabajadora y la empresa o entidad pública que es la responsable del tratamiento.
- En el supuesto que hubiera base legal para llevarlo a cabo, las empresas y entidades públicas deberán superar la evaluación de impacto, previamente al inicio del tratamiento y cumplir determinadas garantías, obligaciones de transparencia y seguridad.
La razón de este cambio es que este tipo de tratamiento de datos es de alto riesgo, pues incluye categorías especiales de datos, entre ellos, datos de salud. Por ejemplo, en sistemas biométricos basados en el étnico, reconocimiento facial se pueden tratar datos que revelan el origen racial o y también se puede extraer información de salud, problemas físicos o psicológicos como en el caso de la voz, incluso algunos sistemas de identificación mediante huella dactilar permiten el registro de parámetros como la temperatura o la presión sanguínea. A lo que se suman factores como que la tecnología ofertada en el mercado suele recopilar más información de la que realmente es necesaria para la finalidad del tratamiento o con mucho más detalle. La situación descrita puede vulnerar el principio de minimización de datos.
Como reflexión final, desde nuestro punto de vista, las empresas y entidades públicas deben revisar los sistemas de registro horarios si éstos se basan en los datos biométricos de las personas empleadas, así como implantar, en su caso, otros sistemas más respetuosos con los derechos fundamentales de protección de datos de carácter personal e intimidad. Igualmente, sería deseable que los convenios colectivos depurasen aquellas cláusulas que legitimen el uso de esta tipología de sistemas de control horario.
