A pesar de las distintas advertencias de la Agencia Española de Protección de Datos (AEPD) y del Comité Europeo de Protección de Datos sobre los posibles riesgos para los derechos fundamentales derivados del uso de sistemas biométricos, hay un Juzgado de lo Social A de Coruña que ha absuelto al Instituto Policlínico de Santa Teresa tras ser demandado por su Comité de Empresa al instalar esta herramienta como sistema de control de jornada.
Los hechos que se valoran en el Juzgado de lo Social nº3 de A Coruña
En 2022 se adoptó el sistema de fichaje biométrico en el Policlínico de Santa Teresa.
El Comité de Empresa ejerció una acción de tutela por derechos fundamentales al considerar que fichar con huella dactilar y otros sistemas biométricos no es legal. Apoyó su demanda en la normativa del Comité Europeo de Protección de Datos que prohibió el uso del fichaje biométrico y basándose en la Guía de la AEPD de 2023, que desaconseja el uso del fichaje biométrico salvo que exista una justificación basada en un interés público relevante o en la seguridad del entorno.
Solicitó 25.000 euros en concepto de indemnización y que se aplicase el Real Decreto Ley 8/2019 de 8 de marzo, que obliga al registro horario de jornada, pero sin imponer el uso de medios biométricos, por lo que propuso alternativas no intrusivas como los lectores de tarjetas NFC; llamadas telefónica, apps móvil con posibilidad de geolocalizaciones; lectura de TAGs desde el móvil o lectura de códigos QR desde el móvil.
La Guía de la AEPD ofrece recomendaciones, no obligaciones
El juzgado destaca que la Guía de la AEPD no forma parte del sistema normativo y que su carácter es meramente orientativo, es decir, el objetivo es interpretar y clarificar «la aplicación de la normativa vigente, pero no tiene fuerza vinculante y además sus razonamiento no pueden ser aplicados a todas las casuísticas posibles».
Además, atiende a la naturaleza del Instituto Policlínico Santa Teresa, que al ser un centro hospitalario está catalogado como infraestructura clínica y que, por tanto, «debe cumplir medidas de seguridad muy especiales para garantizar su funcionamiento y seguridad de los pacientes».
Por ello, remite a la última recomendación de buenas prácticas elaborada por el Centro Naciones de Protección de Infraestructuras criticas (CNIP), quien ha establecido como medidas de control e acceso de usuarios el uso de controles biométricos.
El sistema biométrico en hospitales respeta el principio de conservación de datos personales y el de licitud
Al tener esta consideración de «estructura crítica» y dada su interés general en proteger las infraestructuras del hospital así como cumplir con el registro de los trabajadores, el tribunal razona que a pesar de la sensibilidad de los datos «queda acreditado que el uso de la misma está justificado en un centro hospitalario, pues tiene amparo legal».
El juzgado cita el reciente Reglamento Europeo de Inteligencia Artificial, en vigor desde octubre de 2024, como respaldo técnico adicional que clasifica el uso de la biometría presencial y consentida como de ‘riesgo bajo o inexistente’.
Añade que la utilización de los datos cumple con el principio de licitud y con los límites del principio de conservación de datos personales, pues «tanto la fase de diseño del sistema como en su implantación la recolección de puntos de huella digital es poco invasiva». En este concreto caso, como el hospital no recoge la imagen completa de la huella, se está respetando el principio de no invasión de la intimidad de los trabajadores.
Así concluye el razonamiento del juzgado: «El uso de sistemas biométricos como control de acceso mediante huella dactilar en el hospital es un medio altamente seguro y adecuado para garantizar la protección de bienes, personas y servicios esenciales».
Los otros tipos de sistemas de fichajes son más intrusivos que el biométrico
El juzgado considera que los otros tipos de sistema de fichajes solicitados por el Comité de Empres, como la geolocalización, los lectores de tarjetas NFC, llamadas telefónicas «son mas intrusivos que el de la huella digital» y que los sistemas manuales o basados en la identificación con tarjetas de acceso «no ofrecen el mismo nivel de seguridad y puede dar lugar a la suplantación de identidad».
Por tanto, declara que la biometría es un sistema más seguro que garantiza la identificación única y precisa de los trabajadores autorizados y se apoya en que hay otros organismos oficiales que avalan la seguridad de este sistema, además de que no existe jurisprudencia firme que prohíba el uso de la biometría en el ámbito sanitario.
Por todo ello, se desestima la demanda presentada por el Comité de Empresa junto con la Confederación Intersindical Galega contra el Instituto Policlínico de Santa Teresa y se absuelve de todas las peticiones efectuadas en su contra. Pero esta sentencia aún no es firma, ya que cabe recurso de suplicación ante el Tribunal Superior de Justicia de Galicia.
