La Agència Espanyola de Protecció de Dades (AEPD) ha publicat el passat 24 de novembre la seva Guia sobre Tractaments de Control de Presència mitjançant Sistemes Biomètrics. La veritat és que, després d'alguns informes i directrius d'altres autoritats de control, el sector estava expectant sobre quin seria el criteri definitiu de l'Agència, que fins ara no havia emès una opinió tan completa respecte a aquests tractaments. Parlem, concretament dels sistemes de control horari (fitxatge) i control d'accessos mitjançant identificació biomètrica (això de fitxar amb la petjada dactilar o accedir-hi mitjançant reconeixement facial, etc.).
La veritat és que, després de conèixer el parer de l'AEPD, segur que molts preferirien que no s'hi hagués pronunciat. I és que aquesta guia és tot un míssil a la línia de flotació dels sistemes d'identificació biomètrica en general, i particularment als controls tant de presència com d'accés a l'àmbit laboral. L'AEPD hi rectifica alguns dels seus criteris fins ara, així com aclareix alguns dels requisits essencials que s'han de complir en el tractament de dades.
Podríem simplificar molt i dir simplement que, avui dia, no es poden dur a terme aquestes activitats. Però, encara que per molt poquet, no és exactament així, de manera que t'expliquem tot seguit el més rellevant d'aquesta nova guia de l'Agència. Prometem centrar-nos en allò important i explicar-ho de la manera més senzilla possible.
El Reglament General de Protecció de Dades (RGPD) prohibeix, amb caràcter general, el tractament de dades de categoria especial, les quals es poden tractar només de manera excepcional si concorre algun dels supòsits que el mateix Reglament preveu a aquest efecte. Doncs bé, les dades biomètriques són dades de categoria especial quan s'usen per “identificar de manera unívoca una persona física”. Arran d'aquest concepte matemàtic "unívoc" associat a la finalitat d'identificar, sembla que l'AEPD va interpretar inicialment que, si les dades biomètriques s'utilitzaven amb finalitats d'identificació, serien dada de categoria especial però no així si s'empraven en sistemes d'autenticació. No aprofundirem més en aquest punt, atès que el Comitè Europeu de Protecció de Dades ja va aclarir que, en definitiva i ben dit, si en un procés d'autenticació requereixes identificar o es produeix simultàniament la identificació, la dada biomètrica s'està utilitzant per identificar una persona física concreta i això és el que importa per entendre que hi ha tractament de dada de categoria. Aquesta és una de les reconsideracions que ara fa l'AEPD.
S'ha acabat, per tant, intentar acollir-se a la idea que en un control horari o en un control d'accés el que es produeix és una autenticació i no una identificació, ja que tant munta, munta tant.
Cal, doncs, veure si la prohibició del tractament de dades biomètriques es pot aixecar per alguna de les excepcions que conté el RGPD. Doncs bé, dins dels supòsits que el Reglament recull per al tractament de dades de categoria especial, per als fins aquí referits només cabrien els dos següents:
- Si es compta amb el consentiment dels empleats, el qual ha de ser informat i atorgat de forma inequívoca, específica i lliura.
- Si és necessari per complir obligacions o exercir drets en l'àmbit del Dret laboral i de la seguretat i protecció social. Compte, que això està condicionat que així ho autoritzi una norma europea o nacional o un conveni col·lectiu que estableixi garanties adequades per als drets i interessos, en aquest cas dels empleats.
limitacions
I aquí ve quan el reportatge comença a convertir-se en una pel·lícula de terror que riu tu de “L'exorcista” o la saga completa de “Saw”. Per què? Perquè l'AEPD en aquesta nova guia gairebé gairebé tanca la porta amb pany i clau a aquestes dues opcions:
- Abans entenia que aquests tractaments podien quedar legitimats per existir una previsió legal que així ho recollia: L'art. 20.3 de lEstatut dels Treballadors per al control daccés i lart. 34.9 per al control horari, de presència o fitxatge de la jornada, com ho vulguem anomenar. Ara, fent-se ressò del criteri d'altres autoritats de control de protecció de dades, rectifica i estableix que aquests articles no són suficients perquè no esmenten expressament el tractament de dades biomètriques i perquè no recullen les garanties que cal aplicar en protecció de la privadesa dels empleats.
- Indica, així mateix, que el consentiment tampoc no pot ser una base de legitimació per a aquests tractaments, ja que en una relació ocupador – empleat s'ha de pressuposar que el treballador no atorgarà lliurement el seu consentiment atesa la posició dominant de l'empresa.
- Fins i tot encara que pogués donar-se un consentiment lliure, aquest implicaria que s'ha d'arbitrar una alternativa per a aquells empleats que no consentin el tractament de les seves dades biomètriques i, si aquesta alternativa és menys invasiva per a la privadesa dels treballadors, això suposa que el tractament de dades biomètriques no és indispensable i, per tant, en dades no es tracta de dades que no són proporcional i no es pot dur a terme.
Conclusió: Es posa molt difícil, per no dir impossible, comptar amb sistemes d'identificació biomètrica per a aquests fins a l'empresa.
No hi ha cap solució? Molt ens temem que, mentre no hi hagi una norma europea o espanyola que reguli específicament aquests controls mitjançant dades biomètriques, l'única solució per poder tractar aquest tipus de dades en l'àmbit laboral passa per negociar-ho i recollir-ho expressament en un conveni col·lectiu juntament amb les garanties que hagin d'implementar les empreses en adoptar aquests sistemes per assegurar els drets dels empleats.
A més, si amb molta sort s'aconsegueix superar aquest primer obstacle, quedaria després complir el resta dels requisits que estableix l'AEPD en aquesta guia. I, compte, perquè no són pocs ni gens fàcils de complir i perquè es fan extensius a altres possibles tractaments de dades biomètriques fora ja de l'entorn laboral.
Així que, si per una casualitat el legislador volgués regular aquests sistemes de control biomètric, per favor, que ja de passada no se salti el tràmit de l'avaluació d'impacte sobre protecció de dades, que després estalviarà les empreses de cara a poder adoptar aquests sistemes.
Ruth Benito Martín, of Councel d'ELZABURU
