Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Opinión | La AEPD cambia de criterio y exige a las compañías revisar el uso de datos biométricos en sus sistemas de control

Opinión | La AEPD cambia de criterio y exige a las compañías revisar el uso de datos biométricos en sus sistemas de control
Pedro Moon es asociado en la firma Fourlaw Abogados. En su columna explica que los datos biométricos se consideran como una categoría especial de datos.
25/1/2024 06:31
|
Actualizado: 25/1/2024 01:12
|

En esta noticia se habla de:

El pasado 23 de noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) publicó la Guía sobre Tratamientos de Control de Presencia mediante Sistemas Biométricos (en adelante, la Guía), mediante la cual establece nuevos límites relevantes al uso de sistemas de acceso biométricos con fines de control tanto en el ámbito laboral como en el no laboral.

La publicación de la Guía surge de la necesidad de adaptar los criterios aplicados hasta la fecha a la última actualización derivada de las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD) sobre el uso del reconocimiento facial, aclarando que los datos biométricos deben, con carácter general, considerarse como datos personales de categorías especiales.

Anteriormente, el criterio seguido por la AEPD (Informe 0036/2020; Guía “La Protección de Datos en las Relaciones Laborales”) era que los datos biométricos tratados únicamente para la “verificación/autenticación” -pero no para la “identificación”-, no tenían la consideración de datos de categoría especial, lo que se permitía el uso generalizado de sistemas biométricos para el control de presencia de empleados. Todo ello, en consonancia con los pronunciamientos por parte de nuestros tribunales (STS de 2 de julio de 2007; rec. 5017/2003).

Sin embargo, como ya hemos adelantado, según la nueva Guía, los datos biométricos se consideran, en todo caso, como una categoría especial de datos. Esto implica que, conforme a la especial protección que atribuye el artículo 9 del Reglamento General de Protección de Datos (RGPD) a este tipo de información personal, rige una prohibición general en el uso de los sistemas biométricos para el control de presencia tanto en el ámbito laboral (registros de jornada o control de acceso de empleados) como en el no laboral (control de acceso de terceros), pudiendo hacerse uso de ellos únicamente cuando concurran una serie de circunstancias excepcionales.

En el marco de lo anterior, la AEPD desarrolla en la Guía la posibilidad de levantar la prohibición del tratamiento de estos datos, con base en los supuestos previstos en los apartados b) y a) del artículo 9.2 del RGPD.

El cumplimiento de obligaciones legales (de derecho laboral)

El artículo 9.2.b) del RGPD levanta la prohibición del tratamiento de categorías especiales de datos cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respecto de los derechos fundamentales y de los intereses del interesado”.

En relación con tratamientos de datos biométricos con fines laborales, el Estatuto de los Trabajadores (ET) contiene dos artículos relevantes al respecto: (i) el art. 34, que obliga al empresario a garantizar un registro diario de jornada de los empleados; y (ii) el artículo 20.3 que permite al empresario adoptar medidas de vigilancia y control de los empleados. Estos dos artículos son los que confieren al empresario la obligación y la facultad de adoptar las medidas necesarias para controlar la presencia laboral de sus empleados, así como para llevar a cabo un control de acceso de estos a las instalaciones de la empresa.

No obstante, la AEPD considera que dichos artículos no son suficientes a los efectos de legitimar tratamientos de datos biométricos porque entiende que es necesario que la norma a cuyo amparo se pretende realizar el tratamiento prevea expresamente la posibilidad de llevar a cabo un tratamiento de datos biométricos. En este sentido, aclara que en “la actual normativa legal española no se contiene autorización suficiente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo”, ni para la vigilancia y control del personal laboral.

Por ello, conforme a lo señalado por la Autoridad Catalana de Protección de Datos, la única alternativa para poder llevar a cabo este tipo de tratamiento de datos, sería en el caso de que el convenio colectivo, el pacto o acuerdo resultante de la negociación entre el empresario y los trabajadores, previese la utilización de datos biométricos a tal fin y estableciese garantías adecuadas (Dictamen 2/2022).

Pero no solo eso, sino que, además, para implantar este tipo de sistemas bajo esta excepción, la AEPD exige que su implementación sea necesaria. Sobre este requisito, la AEPD señala que “a la hora de proponer operaciones biométricas, el responsable del tratamiento debe justificar las circunstancias por las que ya no es posible utilizar los sistemas de registro de presencia que se estaban empleando en el mismo centro hasta ese momento o que se están empleando en entidades equivalentes”, debiendo probar también que “el empleo de otros sistemas existentes como tarjetas, certificados, claves, etc, que evitan el tratamiento de categorías especiales de datos no son adecuados”.

En definitiva, la necesidad de justificar lo anterior, hace que sea aún más complicado que las empresas puedan hacer uso de este tipo de sistemas biométricos de control.

Con el consentimiento explícito del interesado

Otra de las excepciones que plantea la normativa para permitir el tratamiento de categorías especiales de datos, consiste en obtener el consentimiento explícito del interesado.

No obstante, la AEPD argumenta que esta excepción no puede ser de aplicación al tratamiento de datos biométricos llevado a cabo en el entorno laboral.

Uno de los requisitos para que el consentimiento sea válido es que sea libre. En relación con este requisito, el Considerando 43 del RGPD recoge que el consentimiento no es libre cuando hay un desequilibrio claro entre el interesado y el responsable del tratamiento.

El CEPD matizó lo anterior en las Directrices 5/2020, señalando que, en la relación entre empleado-empleador existe un claro desequilibrio de poder que hace que el consentimiento por parte del empleado no sea proporcionado libremente, a no ser que el responsable demuestre lo contrario.

La AEPD desarrolla esto último precisando que se podría considerar que el consentimiento para el tratamiento de datos biométricos se ha proporcionado libremente si al interesado se le ofrecen alternativas menos intrusivas, pero termina aclarando que, si existiese alguna alternativa al tratamiento de datos biométricos que implicara un menor riesgo, el tratamiento de datos biométricos dejaría de ser “necesario” y, por lo tanto, no cumpliría con el principio de minimización de datos.

Cuestión distinta sería que se pretendiese hacer uso de estos sistemas con fines distintos a los laborales, en cuyo caso, sería necesario realizar un análisis similar, tratando de determinar: (i) si el consentimiento es libre, específico, informado e inequívoco; (ii) si el responsable del tratamiento ha establecido un método alternativo para poder realizar el control de acceso, sin ninguna consecuencia perjudicial para la persona que no quiera realizar el control de acceso mediante técnicas biométricas; y (iii) que no existe otra alternativa que sirva para satisfacer la necesidad identificada y que implique un riesgo menor en los derechos y libertades de los interesados.

En todo caso, siempre y cuando se vayan a utilizar sistemas que impliquen un tratamiento de datos biométricos, será necesario llevar a cabo un análisis en profundidad que conlleve una gestión del riesgo, desde el diseño y por defecto, aplicando, en su caso, las medidas técnicas y organizativas apropiadas a fin de garantizar el cumplimiento de la normativa, o debiendo superar favorablemente una Evaluación de Impacto para la Protección de Datos (EIPD).

En definitiva, esta nueva Guía obliga a las empresas a revisar sus sistemas de acceso cuando impliquen el tratamiento de datos biométricos con el fin de asegurar que se dispone de legitimación para el mismo conforme a la normativa de protección de datos y que resultan de aplicación las medidas necesarias para evitar riesgos a los derechos y libertades de los interesados, todo lo cual se deberá documentar debidamente para acreditarlo en caso necesario.

Otras Columnas por Pedro Moon:
Últimas Firmas
  • Opinión | La protección constitucional de la buena reputación
    Opinión | La protección constitucional de la buena reputación
  • Opinión | Juicios telemáticos: ¿evolución o involución?
    Opinión | Juicios telemáticos: ¿evolución o involución?
  • Opinión | CDL: A vueltas con la ‘Anti-Suit Injunction’: UniCredit contra RusChemAlliance ante la Jurisdicción de Inglaterra y Gales (I)
    Opinión | CDL: A vueltas con la ‘Anti-Suit Injunction’: UniCredit contra RusChemAlliance ante la Jurisdicción de Inglaterra y Gales (I)
  • Opinión | Se acercan las vacaciones y mi ex no me autoriza a viajar al extranjero con el menor: ¿qué puedo hacer?
    Opinión | Se acercan las vacaciones y mi ex no me autoriza a viajar al extranjero con el menor: ¿qué puedo hacer?
  • Opinión | La comunicación y el Gobierno: Milei, el conato de dimisión presidencial y el novio de Ayuso
    Opinión | La comunicación y el Gobierno: Milei, el conato de dimisión presidencial y el novio de Ayuso