La Agencia Española de Protección de Datos (AEPD) ha publicado el pasado 24 de noviembre su Guía sobre Tratamientos de Control de Presencia mediante Sistemas Biométricos. Lo cierto es que, tras algunos informes y directrices de otras autoridades de control, el sector estaba expectante sobre cuál sería el criterio definitivo de la Agencia, que hasta ahora no había emitido una opinión tan completa respecto a estos tratamientos. Hablamos, concretamente de los sistemas de control horario (fichaje) y control de accesos mediante identificación biométrica (lo de fichar con la huella dactilar o acceder mediante reconocimiento facial, etc.).
La verdad es que, tras conocer el parecer de la AEPD, seguro que muchos preferirían que no se hubiera pronunciado al respecto. Y es que esta guía es todo un misil a la línea de flotación de los sistemas de identificación biométrica en general, y particularmente en los controles tanto de presencia como de acceso en el ámbito laboral. En ella la AEPD viene a rectificar algunos de sus criterios al respecto hasta ahora, así como clarifica algunos de los requisitos esenciales que deben cumplirse en el tratamiento de datos.
Podríamos simplificar mucho y decir simplemente que, a día de hoy, no se pueden llevar a cabo tales actividades. Pero, aunque por muy muy poquito, no es exactamente así, de modo que te contamos a continuación lo más relevante de esta nueva guía de la Agencia. Prometemos centrarnos en lo importante y explicarlo de la forma más sencilla posible.
El Reglamento General de Protección de Datos (RGPD) prohíbe, con carácter general, el tratamiento de datos de categoría especial, los cuales pueden tratarse sólo de forma excepcional si concurre alguno de los supuestos que el propio Reglamento prevé al efecto. Pues bien, los datos biométricos son datos de categoría especial cuando se usan para “identificar de manera unívoca a una persona física”. A raíz de ese concepto matemático “unívoco” asociado a la finalidad de identificar, parece que la AEPD inicialmente interpretó que, si los datos biométricos se utilizaban con fines de identificación, serían dato de categoría especial pero no así si se empleaban en sistemas de autenticación. No ahondaremos más en este punto, dado que el Comité Europeo de Protección de Datos ya aclaró que, en definitiva y dicho muy llanamente, si en un proceso de autenticación requieres identificar o se produce simultáneamente la identificación, el dato biométrico se está utilizando para identificar a una persona física concreta y eso es lo que importa para entender que hay tratamiento de dato de categoría especial. Esta es una de las reconsideraciones que ahora hace la AEPD.
Se acabó, por tanto, intentar acogerse a la idea de que en un control horario o en un control de acceso lo que se produce es una autenticación y no una identificación, pues tanto monta, monta tanto.
Se hace necesario, entonces, ver si la prohibición del tratamiento de datos biométricos puede levantarse por alguna de las excepciones que contiene el RGPD. Pues bien, dentro de los supuestos que el Reglamento recoge para el tratamiento de datos de categoría especial, para los fines aquí referidos sólo cabrían los dos siguientes:
- Si se cuenta con el consentimiento de los empleados, el cual ha de ser informado y otorgado de forma inequívoca, específica y libre.
- Si es necesario para cumplir obligaciones o ejercer derechos en el ámbito del Derecho laboral y de la seguridad y protección social. Ojo, que esto está condicionado a que así lo autorice una norma europea o nacional o un convenio colectivo que establezca garantías adecuadas para los derechos e intereses, en este caso de los empleados.
Limitaciones
Y aquí viene cuando el reportaje empieza a convertirse en tal película de terror que ríete tú de “El exorcista” o la saga completa de “Saw”. ¿Por qué? Porque la AEPD en esta nueva guía casi casi casi cierra la puerta a cal y canto a estas dos opciones:
- Antes entendía que estos tratamientos podían quedar legitimados por existir una previsión legal que así lo recogía: El art. 20.3 del Estatuto de los Trabajadores para el control de acceso y el art. 34.9 para el control horario, de presencia o fichaje de la jornada, como lo queramos llamar. Ahora, haciéndose eco del criterio de otras autoridades de control de protección de datos, rectifica y establece que esos artículos no son suficientes porque no mencionan expresamente el tratamiento de datos biométricos y porque no recogen las garantías que deben aplicarse en protección de la privacidad de los empleados.
- Indica, asimismo, que el consentimiento tampoco puede ser una base de legitimación para estos tratamientos, puesto que en una relación empleador – empleado debe presuponerse que el trabajador no va a otorgar libremente su consentimiento dada la posición dominante de la empresa.
- Incluso aunque pudiera darse un consentimiento libre, este implicaría que ha de arbitrarse una alternativa para aquellos empleados que no consientan el tratamiento de sus datos biométricos y, si dicha alternativa es menos invasiva para la privacidad de los trabajadores, esto supone que el tratamiento de datos biométricos no es indispensable y, por lo tanto, en virtud del principio de minimización de los datos personales (no tratar datos que no sean estrictamente necesarios), no es proporcional y no puede llevarse a cabo.
Conclusión: Se pone sumamente difícil, por no decir imposible, contar con sistemas de identificación biométrica para estos fines en la empresa.
¿No hay ninguna solución? Mucho nos tememos que, mientras no exista una norma europea o española que regule específicamente estos controles mediante datos biométricos, la única solución para poder tratar este tipo de datos en el ámbito laboral pasa por negociarlo y recogerlo expresamente en un convenio colectivo junto con las garantías que deban implementar las empresas al adoptar estos sistemas para asegurar los derechos de sus empleados.
Además, si con mucha suerte se consigue superar este primer obstáculo, quedaría después cumplir el resto de los requisitos que la AEPD establece en esta guía. Y, ojo, porque no son pocos ni nada fáciles de cumplir y porque se hacen extensivos a otros posibles tratamientos de datos biométricos fuera ya del entorno laboral.
Así que, si por una casualidad el legislador quisiera regular estos sistemas de control biométrico, por favor, que ya de paso no se salte el trámite de la evaluación de impacto sobre protección de datos, que algo ahorrará luego a las empresas de cara a poder adoptar estos sistemas.
Ruth Benito Martín, of Councel de ELZABURU