2024.01.15
Huella dactilar y reconocimiento facial en los sistemas de control de presencia: Nuevas restricciones legales
El pasado 23 de noviembre de 2023, la Agencia Española de Protección de Datos (en adelante, la “AEPD”) publicó su Guía sobre tratamientos de control de presencia mediante sistemas biométricos (en adelante, la “NUEVA GUÍA”), al objeto de establecer los criterios legales que, en materia de protección de datos personales, deben observarse para la utilización de sistemas biométricos en (i) el registro de la jornada laboral; y (ii) el control de accesos (ya sea con fines laborales o no laborales).
En este contexto debe entenderse que, atendido su contenido, la NUEVA GUÍA supone un relevante cambio de criterio por parte de la AEPD en relación con el uso de dichos sistemas biométricos que puede llegar a tener un impacto significativo para nuestras empresas y organizaciones, especialmente en lo que afecta al uso de dichas herramientas con fines laborales.
Hasta ahora, la AEPD venía manteniendo en sus informes y resoluciones que, toda vez que dichos sistemas de control mediante biometría se limitaban a autenticar a los interesados (esto es, no tenían por finalidad su identificación), debía entenderse que no se producía un tratamiento de datos biométricos. De hecho, esta es la posición que la AEPD incluyó en su Guía sobre la protección de datos en las relaciones laborales.
Ello no obstante, el pasado 23 de abril de 2023 el Comité Europeo de Protección de Datos publicó la actualización de sus Directrices 5/2022, relativas al uso de técnicas de reconocimiento facial (documento accesible aquí), cuyo contenido conllevaba la imposibilidad de mantener la antedicha interpretación y que ha obligado a la AEPD a modificar su criterio.
Siendo así y atendida su trascendencia práctica, se resumen a continuación los principales criterios que la AEPD ha establecido en la NUEVA GUÍA:
▪ En primer lugar, debe entenderse que la utilización de técnicas biométricas de identificación y autenticación en el control de presencia (huella dactilar, reconocimiento facial, etc.) supone, en todo caso, un tratamiento de datos de alto riesgo que incluye categorías especiales de datos.
▪ La implementación de un tratamiento de este tipo debe cumplir con los principios de minimización y privacidad desde el diseño y por defecto.
Ello obliga a garantizar que (i) únicamente se tratan los datos adecuados, pertinentes y estrictamente necesarios para cumplir con la finalidad del tratamiento; y (ii) se utilizan las medidas menos intrusivas posibles, aplicando las técnicas de tratamiento alternativas que minimicen el impacto en los derechos y libertades de los interesados.
▪ Toda vez que, como se ha indicado, la utilización de dichas técnicas biométricas supone el tratamiento de categorías especiales de datos, debe considerarse que el RGPD prohíbe, con carácter general, el tratamiento de dicho tipo de datos, entendiéndose lícito su tratamiento únicamente en aquellos casos en los que concurre una de las excepciones previstas en el artículo 9.2 del RGPD.
A este respecto y considerando las excepciones potencialmente aplicables a estos tratamientos, se establece lo siguiente:
- La existencia de una norma de rango legal (artículo 9.2.b) RGPD) solo podrá ser utilizada como excepción si la norma en cuestión recoge y regula, de forma expresa, la posibilidad de utilizar datos biométricos.
En este sentido y por lo que afecta al registro de la jornada, en la actual normativa de aplicación no existe previsión específica alguna que habilite y regule dicho tratamiento. Ni el Estatuto de los Trabajadores, ni el Estatuto Básico del Empleado Público contemplan específicamente la posibilidad de registro de la jornada mediante el uso de datos biométricos.
Alternativamente, cabe la posibilidad de que los Convenios Colectivos (que cuentan con fuerza de Ley) regulen dicho aspecto, validando así la aplicación del artículo 9.2.b) RGPD. Ello no obstante, con carácter general, los Convenios Colectivos de nuestro entorno no incorporan previsión alguna al respecto.
- El consentimiento explícito del interesado (artículo 9.2.a) RGPD) podría constituir, a priori, una excepción válida a la antedicha prohibición, dando por bueno, por lo tanto, el tratamiento de datos biométricos en sistemas de control de acceso si el propio interesado lo ha consentido libremente.
Ello no obstante, la AEPD entiende que, atendidas las previsiones del RGPD, en el contexto de las relaciones laborales se produce un desequilibrio entre empleador y empleado que pone en tela de juicio la libertad de este último para prestar su consentimiento.
En este sentido, la AEPD reconoce que esa libertad podría salvaguardarse facilitando al empleado otros sistemas alternativos para llevar a cabo el control de presencia sin utilizar sus datos biométricos (e.g. tarjetas, códigos, etc.). Sin embargo, el mero hecho de que existan otros medios menos intrusivos para alcanzar la finalidad del tratamiento obliga a concluir que éste no es estrictamente necesario (incumpliéndose así el principio de minimización anteriormente referido).
Este último criterio (falta de necesidad e incumplimiento del principio de minimización) sería igualmente aplicable, a juicio de la AEPD, a los tratamientos relacionados con control de acceso fuera del ámbito laboral, cuestionando la validez del consentimiento de los interesados a tal fin.
▪ En cualquier caso, los tratamientos objeto de la NUEVA GUÍA requieren siempre la realización de una Evaluación de Impacto Relativa a la Protección de Datos (en adelante, “EIPD”).
Dicho criterio (que la AEPD ya mantenía con anterioridad a la publicación de la NUEVA GUÍA), hace necesario que, cuando a juicio del Responsable del Tratamiento, se cumplan los requisitos antedichos y pueda realizarse el tratamiento de datos biométricos, deberá realizarse y documentarse, en todo caso y con carácter previo al inicio del tratamiento, una EIPD.
En conclusión, a través el cambio de criterio contenido en la NUEVA GUÍA, la AEPD ha limitado (que no prohibido) las posibilidades de uso de los sistemas biométricos en el control de presencia (tanto con fines laborales como con fines no laborales), estableciendo requisitos más restrictivos a tal fin.
Siendo así, resulta necesario que aquellas empresas y organizaciones que cuenten con dicha tipología de sistemas biométricos o tenga previsto implementarlos, tengan en cuenta el contenido de la NUEVA GUÍA y, en particular, tengan en cuenta las siguientes recomendaciones:
▪ Aquellos Responsables del Tratamiento que actualmente tengan implementado un sistema biométrico de control de presencia deberán (i) verificar que cuentan con una EIPD debidamente realizada y documentada; y (ii) reevaluar su concreta situación (incluyendo la revisión de su EIPD) para garantizar que, en su caso, se cumplen los nuevos criterios establecidos por la AEPD. En caso contrario, el tratamiento de datos podría no resultar conforme a la legislación vigente.
En este sentido, debe considerarse que en la NUEVA GUÍA, la AEPD no ha establecido periodo transitorio alguno, por lo que, actualmente, dichos Responsables del Tratamiento podrían estar incurriendo en una infracción en materia de protección de datos personales, exponiéndose a una eventual sanción ante cualquier denuncia de un interesado.
▪ Los Responsables del Tratamiento que, en lo sucesivo, prevean implementar un sistema biométrico de control de presencia deberán tener en cuenta, de forma inexcusable, los criterios establecidos en la NUEVA GUÍA, y elaborar y documentar una EIPD con carácter previo al inicio del tratamiento de datos.