Desde el pasado mes de mayo, todas las empresas están obligadas a llevar un registro de la jornada laboral de sus trabajadores. La instalación de un sistema de control de acceso y horario basado en la recogida de un patrón de la huella dactilar de los empleados comporta el tratamiento de sus datos personales, ya que la huella dactilar es un dato biométrico. Este se define como información personal obtenida a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen su identificación única, por ejemplo, imágenes faciales, del iris, huellas dactilares, etc.
Los datos biométricos son considerados categorías especiales de datos, por lo que solo puede legitimarse su tratamiento amparándose en alguna de las excepciones establecidas en el art. 9.2 GDPR. Las que se pueden aplicar a este tipo de tratamiento son:
Para legitimar el tratamiento de datos biométricos conforme a la excepción del art. 9.2 a), los empleados deberían prestar el consentimiento mediante una declaración o una clara acción afirmativa, que podría ser firmando una cláusula donde se la facilite toda la información del tratamiento establecida en el art. 13 GDPR. Se debe tener en cuenta que los interesados pueden oponerse al tratamiento en el momento que se solicite el consentimiento, o posteriormente en cualquier momento.
No obstante, en el ámbito laboral, la legitimación del tratamiento a través del consentimiento del trabajador no es lo recomendable, y es que, con carácter general, en el marco de las relaciones laborales existe una situación de desequilibrio de poder entre el empleado y el empleador, y escasas las ocasiones en las que los trabajadores pueden prestar su consentimiento de forma “libre”, tal y como exige el GDPR. Por eso, por lo difícil que puede resultar decirle al jefe que no, la base de legitimación de este tratamiento de datos debería ampararse en el interés legítimo del responsable (art. 6.1.f GDPR), tal como exponemos a continuación.
Para legitimar el tratamiento de datos biométricos conforme a la excepción del art. 9.2 a), el tratamiento podrá amparase en el interés legítimo del empleador del art. 6.1.f) GDPR, basado en el art. 20.3 del Estatuto de los Trabajadores conforme al cual “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos”.
Este tipo de tratamiento puede entrañar un alto riesgo para los derechos y libertades de los interesados y por este motivo se deben tener en cuenta dos posibilidades o sistemas para realizar el tratamiento:
En este caso, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo, teniendo en cuenta las implicaciones del uso de nuevas tecnologías, la observación sistemática de los hábitos de los trabajadores y el tratamiento de datos de una categoría especial (biométricos), sería preciso llevar a cabo una evaluación del impacto relativa a la protección de datos (DPIA) para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos (art. 35 GDPR).
A la vista de las consideraciones descritas, entenderemos como adecuado a la normativa en materia de protección de datos, el tratamiento de los datos biométricos de los trabajadores con la finalidad de control de acceso a su puesto de trabajo siempre que se realice una DPIA.
En relación con la especial naturaleza que a los datos biométricos confiere el GDPR y que exige atención no sólo a la proporcionalidad sino a la propia minimización del dato, es decir, que sólo sea objeto de tratamiento en lo imprescindible para el cumplimiento de la finalidad perseguida. Se podría usar un sistema donde el dato biométrico permaneciese bajo el control del trabajador y no del responsable, de manera que el sistema solo incorporase el registro horario junto a la identificación del trabajador, por ejemplo usando la huella dactilar en su teléfono móvil, tal como se usa en ocasiones para acceder a las app de entidades financieras.
En este sentido, la AEPD, tanto en el Informe 0065/2015, como en diversas consultas que se le han planteado al respecto, pone de manifiesto lo siguiente:
“El objetivo podría lograrse si se estableciese un sistema de control del acceso que, sin perjuicio de aplicar medidas de control biométrico, permitiera que el propio dato biométrico, la huella dactilar, permaneciese bajo el control del interesado (en este caso el trabajador) y no fuera incorporado al sistema. De este modo, sería posible que la verificación se llevase a cabo a partir de un dispositivo que portase el empleado, de forma que el sistema únicamente almacenase la información referida a la entrada o salida del centro de trabajo, sin que en ningún momento reflejase el algoritmo de la huella.
Así, el sistema únicamente almacenaría la información identificativa del empleado y en ningún caso incluiría la relacionada con el algoritmo de la huella dactilar, lo que minimizaría la injerencia de la medida adoptada sin por ello perjudicar el resultado que la misma pretende».
En grandes empresas, lo recomendable es comunicar previamente al Comité de empresa o al Representante de los trabajadores, según sea el caso, de la puesta en marcha del sistema a utilizar, informándoles de las ventajas e inconvenientes del mismo y haciéndoles partícipes de la conveniencia de su uso.
En cualquier caso, sería necesario informar a los trabajadores mediante una circular, con los detalles del tratamiento establecidos en el art. 13 GDPR, por los medios habituales de comunicación, para poder demostrar que se ha informado debidamente el tratamiento. Además, si se utilizan sistemas automatizados para tratar estos tipos de datos, se recomienda añadir a la información obligatoria, los detalles y la lógica del procedimiento, como:
Conclusiones
Atendiendo lo dispuesto en el Dictamen CNS 63/2018 de la Autoridad Catalana de Protección de Datos, trasladamos las siguientes conclusiones:
«La inclusión de los datos biométricos, entre ellos los de la huella dactilar, entre las categorías especiales de datos previstas por el GDPR no permite concluir de manera automática que la implantación de un sistema de control horario basado en la recogida de este tipo de datos pueda considerarse proporcionada y, por lo tanto, conforme con el principio de minimización. Hay que hacer una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en las que se lleve a cabo el tratamiento para determinar su legitimidad y proporcionalidad, incluido el análisis de la existencia de alternativas menos intrusivas, y establecer las garantías adecuadas.
En el caso del control de acceso a dependencias o zonas que requieran unas condiciones de seguridad reforzadas, el uso de este tipo de sistemas puede resultar justificado en determinados casos, si bien también resulta necesario llevar a cabo con carácter previo la evaluación del impacto en la protección de datos.»
Documentos relacionados
Informe AEPD 0065/2015: https://www.aepd.es/media/informes-historicos/2015-0065_Control-de-acceso-al-comedor-por-huella-digital.pdf
Dictamen APDCAT CNS 63/2018: https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2018/Documents/es_cns_2018_063.pdf
Las cookies de rendimiento se utilizan para comprender y analizar los índices de rendimiento clave del sitio web, lo que ayuda a ofrecer una mejor experiencia de usuario a los visitantes.
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Esta categoría solo incluye cookies que garantizan funcionalidades básicas y características de seguridad del sitio web. Estas cookies no almacenan ninguna información personal.
Las cookies publicitarias se utilizan para proporcionar a los visitantes anuncios y campañas de marketing relevantes. Estas cookies rastrean a los visitantes en los sitios web y recopilan información para proporcionar anuncios personalizados.
Las cookies no definidas son aquellas que se están analizando y aún no se han clasificado en una categoría.
Las cookies de preferencia se utilizan para almacenar las preferencias del usuario para proporcionar contenido personalizado y conveniente para los usuarios, como el idioma del sitio web o la ubicación del visitante.
Las cookies analíticas se utilizan para comprender cómo los visitantes interactúan con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, número de visitantes, tasa de rebote, fuente de tráfico, etc.