El tratamiento de datos biométricos para el control de presencia

¿Son legales los datos biométricos en el registro de jornada laboral?

¿Es legal utilizar sistemas que utilizan datos biométricos para realizar el registro de jornada o el control de accesos en el ámbito laboral? ¿Y fuera del ámbito laboral?

Este pasado mes de noviembre de 2023, la Agencia Española de Protección de Datos publicó una guía sobre tratamientos de control de presencia mediante sistemas biométricos que ha dado un giro al criterio que venía siguiendo hasta día de hoy esta autoridad de control.

La AEPD ha determinado que “la utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo que incluye categorías especiales de datos” y como tal, el Reglamento General de Protección de Datos –RGPD – les otorga una protección especial.

¿Cuál es esta protección especial?

El Reglamento General de Protección de Datos indica que el tratamiento de este tipo de datos está prohibido, salvo que concurran una seria de circunstancias establecidas en el artículo 9.2 del RGPD. Entre las excepciones, se encuentran las siguientes que la AEPD valora:

a) CONSENTIMIENTO EXPLÍCITO: “el interesado dio su consentimiento explícito para el tratamiento de dichos datos personas con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado.

b) AUTORIZACIÓN POR NORMATIVA: “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

¿Y qué indica la guía?

De conformidad con lo indicado, la AEPD ha evaluado a través de su guía, si estos supuestos son de aplicación tanto para el control de accesos o registro de jornada en el ámbito laboral, como en el control de accesos fuera del ámbito laboral. De forma resumida, si existe una norma de rango de ley que autorice específicamente a poder tratar los datos biométricos o si el consentimiento es un mecanismo válido para levantar la prohibición del tratamiento.

Asimismo, Tal y como se establece en el RGPD cualquier tratamiento de datos debe cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales.

En este sentido, la guía indica, explícitamente lo siguiente:

“En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española”.

“En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento”

“Para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición según el art.9.2 del RGPD. El consentimiento tampoco lo podrá ser, al resultar un tratamiento de alto riesgo, y que tendría que superar el requisito de necesidad establecido para dichos tratamientos”.

¿Cuál es la conclusión?

Así pues, en estos momentos no hay ninguna normativa que legitime el tratamiento de los datos biométricos, así como tampoco se prevé la posibilidad de solicitar el consentimiento al existir un desequilibrio entre la persona a la cual se somete al tratamiento y quien hace este tratamiento, y además el considerando 39 establece que “… los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograse razonablemente por otros medios…”. Esto es, hay otros sistemas menos intrusivos que logran las mismas finalidades.

No obstante lo anterior la AEPD también indica que la prohibición no es absoluta sino que cualquier utilización de los datos biométricos con finalidades adicionales a la de control de presencia deberá tener sus propias circunstancias de levantamiento de la prohibición y de condiciones que lo legitimen; que deberá ir acompañada de a la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.

Finalmente, no cumplir con las obligaciones en materia de protección de datos respecto al uso de datos biométricos puede ser motivo de sanción, considerada como muy grave conforme lo establecido en el Artículo 72. e) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos:

e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica.

Las multas por infracciones muy graves ascienden entre 300.001 € a 20 millones de euros o el 4% de la facturación anual, aplicando la cuantía que sea mayor.