Blog

Protección de Datos

Uso de los datos biométricos en el ámbito laboral

Uso de los datos biométricos en el ámbito laboral

18 enero, 2023

Con el cambio de criterio de la Agencia Española de Protección de Datos (AEPD), cada vez son más las consultas, preguntas y dudas de empresas sobre el uso de datos biométricos y el motivo por el cual deben cambiar su mecanismo de control, ya sea para el control de la jornada laboral o el control de acceso. Y aunque en un artículo anterior explicamos el Dictamen emitido por la Autoritat Catalana de Protección de Datos relativo al uso de dispositivos de control de presencia al puesto de trabajo mediante reconocimiento facial, hoy en día, son muchas las empresas que siguen utilizando estos métodos tan intrusivos. Por este motivo, en DATAX os hemos preparado este artículo, con el fin de exponer  los hechos que han motivado el cambio de criterio y dar solución a todas las cuestiones planteadas.

¿Qué es un dato biométrico?

En primer lugar, es necesario definir qué es un dato biométrico: Según la definición del Reglamento General de Protección de Datos (RGPD), los datos biométricos son aquellos datos personales referidos a las características físicas, fisiológicas o conductuales de una persona que posibiliten o aseguren su identificación única. Es decir, la huella digital, el ADN, las características biométricas del iris o faciales, etc.

Esta clase de datos personales es considerada como datos de carácter especial y, en este sentido, el artículo 9 del RGPD viene a establecer que queda prohibido el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física. Sin bien, existen excepciones que permiten tratar este tipo de datos como, por ejemplo: que el interesado haya dado su consentimiento explícito.

En segundo lugar, ya no cabe la diferenciación entre identificación del interesado o autenticación/ validación del mismo mediante el uso de la biometría., El Comité Europeo de Protección de Datos, en las recientes Directrices 05/2022, ha concluido que los datos biométricos siempre serán datos de categoría especial, siguiendo así el mismo criterio que la APDCAT, CNIL, ICO e Il Garante.

¿Qué requisitos son necesarios para justificar la utilitzación de datos biométricos?

Para utilizar datos biométricos es necesario cumplir ciertos requisitos que, como veremos a continuación, resultan imposibles de satisfacer en el ámbito laboral. Los motivos son dos:

– La licitud del tratamiento.

 La proporcionalidad.

Ambas autoridades de control (APDCAT y la AEPD) concluyen que no hay una base legitimadora para tratar este tipo de datos, aunque el Estatuto de Trabajadores (ET) prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para la jornada laboral, la normativa no determina el cómo. Además, según una Sentencia del Tribunal Constitucional, si utilizáramos el ET como base legitimadora, este debería concretar el uso de datos de categorías especiales y sus garantías.

Por otro lado, si nos basamos en el consentimiento como base legitimadora, debemos tener en cuenta que se considera consentimiento “toda manifestación de voluntad libre, específica, informada e inequívoca” y en el caso de datos de categorías especiales, tal consentimiento debe ser explícito (art. 9.2.a RGPD). En el caso de usar datos biométricos en ámbito laboral, vemos que:

  • 1º-No es un consentimiento libre debido a que se plantea como la única vía para el control de la jornada.
  • 2º-Hay un desequilibrio de poder dada la relación entre el empleador y empleado, por lo que el sujeto se puede sentir obligado a dar su consentimiento.

 

En otras palabras, no existiría base legitimadora para tal tratamiento de datos. Asimismo, también debemos tener en cuenta que, siempre y cuando la empresa quiera realizar un tratamiento  de datos biométricos, esta debe contar con una evaluación de impacto. Respecto de las Evaluaciones de Impacto (“DPIA”), la AEPD declara expresamente que “en cualquier caso, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo y teniendo en cuenta sus implicaciones, tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física, sería preceptivo llevar a cabo una evaluación de impacto relativa a la protección de datos de carácter personal”.

Es por ese motivo que, cualquier tratamiento de datos que implique el recabado y uso de datos biométricos requerirá de la previa realización de una evaluación de impacto en la privacidad de las personas, a través de la cual pueda evaluarse:

  • El juicio de idoneidad, es necesario determinar si el tratamiento es imprescindible para el fin que se persigue.
  • El juicio de necesidad, hay que determinar si la finalidad perseguida no puede alcanzarse de otro modo menos lesivo o invasivo, preguntarse si existe un tratamiento alternativo igual de eficaz y menos invasivo.
  • El juicio de proporcionalidad, la gravedad del riesgo y su intromisión en la privacidad ha de ser adecuada al objetivo perseguido y proporcionada.

En conclusión, y atendiendo, a los principios y fundamentos del RGPD, resulta obligatorio escoger las tecnologías que resulten menos intrusivas desde el punto de vista de la protección de datos.

En DATAX, entendemos que pueda resultar un inconveniente, modificar un sistema biométrico que actualmente funciona y que les puede parecer la mejor vía para el control de la jornada laboral o bien, el control de acceso a las instalaciones, sin embargo, la AEPD ya se ha posicionado al respecto y ya ha sancionado a empresas que utilizan tal sistema con estas finalidades. Nuestra recomendación es escoger otro sistema menos intrusivo, por ejemplo, tarjetas personales o códigos de acceso., No obstante la decisión final corresponde en última instancia a la organización al ser la Responsable del tratamiento de los datos.

DATAX es una empresa especializada en materia de protección de datosseguridad de la información y Compliance.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 18 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en materia de protección de datos.

 

Laura Morató Pascual

Asesora legal especialista en Derecho Digital y Protección de Datos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *