¿Puedo seguir utilizando sistemas biométricos para el control de presencia y el control horario de los trabajadores?

control biométrico

El pasado 23 de noviembre, la Agencia Española de Protección de Datos (AEPD) cambió el criterio sobre el tratamiento del registro de la jornada laboral y de presencia mediante dispositivos de biometría, por el que se determina que los sistemas biométricos tienen implicaciones en la privacidad de los empleados y tienen un difícil encaje en el Reglamento General de Protección de Datos.

Esta decisión, se hizo pública con el lanzamiento de su nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos, donde entre otras cosas, amplía su anterior criterio sobre los sistemas biométricos faciales, a los sistemas biométricos de control por huella, por lo que su nuevo criterio afecta tanto a los de control de presencia y acceso, como a los de control horario y de registro de la jornada laboral.

La Agencia considera que ambos sistemas biométricos, el reconocimiento facial y el registro de la huella, hacen un tratamiento de datos sensibles de nivel especial, ya que determinan la identidad de una persona, tal y como se recoge en el Reglamento General de Protección de Datos (RGPD), en su artículo 4. 14, “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Requisitos que solicita la Agencia Española de Protección de Datos (AEPD) a los sistemas biométricos

En esta nueva guía, la AEPD somete a los sistemas biométricos, que se usan para el control de presencia y control horario, a un riguroso sistema de requisitos, para que, según su criterio, cumplan con el Reglamento Europeo de Protección de Datos y así poder legalizarlos:

  • Redacción de una evaluación de impacto en protección de datos realizada por un experto y que tenga carácter favorable.
  • Ponderación de la causa de necesidad, de su proporcionalidad y de su idoneidad, como ordena el Tribunal Constitucional, que quiere decir que tenemos la necesidad de usar obligatoriamente el sistema biométrico y que no tenemos otra alternativa que perjudique menos al derecho a la protección de datos y la intimidad de los usuarios.
  • Consentimiento libre, expreso e informado de los trabajadores o usuarios afectados. Para que el consentimiento sea válido en el ámbito laboral, se ha de informar al trabajador y a sus representantes de la necesidad de la medida, de su base legal y medidas de seguridad y darle opciones de otros sistemas de registro de la jornada laboral que sean menos invasivos. Además de informar de que puede revocar ese consentimiento en cualquier momento y optar por sistemas menos perjudiciales.
  • Demostrar una gestión de riesgo de control de los tratamientos escrupulosa en todo el ciclo de vida del dato.
  • Un estricto sistema de control informático de los datos biométricos, de su custodia y de su borrado, verificando la ciberseguridad durante todas las fases del tratamiento biométrico.

Según Jesús Soler, DPO Certificado por la AEDP: “Va a ser muy difícil probar y justificar jurídicamente la causa de necesidad y va a ser muy difícil obtener una Evaluación de Impacto favorable, porque hay que demostrar una gestión del riesgo que muy pocas empresas pueden permitirse, por su alto coste organizativo y de cumplimiento normativo, además de la necesidad de contar con asesoramiento experto.”

Y añade, “Además, la causa de necesidad ha de probarse para cada caso concreto y, si existen en el mercado alternativas menos perjudiciales, como pueden ser la tarjeta física, una plataforma web o una APP de control de horario o jornada laboral,  la causa de necesidad deja de existir y por tanto no se puede usar la huella ni el reconocimiento facial.

¿Cuál es la sanción por incumplimiento de los requisitos para los sistemas biométricos en el control de jornada laboral y control de acceso?

En la práctica, aunque la Agencia Española de Protección de Datos (AEPD) en ningún momento dice que están prohibidos los sistemas biométricos, los requisitos establecidos hacen que sea casi imposible la utilización de estos dispositivos sin arriesgarse a que, ante una inspección o una denuncia de la Agencia no se sancione por un incumplimiento grave de la normativa de Protección de Datos. Y tenemos que recordar que una sanción grave puede llegar hasta el 4% de la facturación de la empresa del ejercicio anterior.

¿Cuál es la alternativa a los sistemas biométricos? ¿Cumplen con las directrices de la Agencia Española de Protección de Datos (AEPD)?

Ante esta perspectiva, la alternativa más sencilla y jurídicamente viable es utilizar sistemas de control de presencia o de registro de la jornada laboral menos invasivos, como pueden ser los registros mediante tarjetas magnéticas con o sin nfc, pulseras cifradas (acceso a gimnasios) o fichar mediante aplicaciones instaladas en el móvil del trabajador o códigos QR, entre otros.

En estos sistemas de registro, la empresa ya no trata datos de nivel especial y, por tanto, están sometidos al régimen general de gestión de la protección de datos, donde los requerimientos son mucho menores y ya integrados desde hace años, en los procesos de las empresas:

  • Hacer un Registro de Tratamientos.
  • Informar al trabajador o usuario.
  • Obtener el consentimiento o incluirlo como una obligación derivada del Real Decreto de Control de la Jornada Laboral o permitida por el Estatuto de los Trabajadores y el contrato de trabajo.
  • Hacer una evaluación de los riesgos de cumplimiento.

En caso, de mantener los sistemas de registro de la jornada laboral mediante sistemas biométricos, sin cumplir los estrictos requisitos que ha impuesto la Agencia de Protección de Datos, estamos expuestos a una sanción lo suficientemente importante como valorar los sistemas alternativos que existen ya en el mercado.