IMPORTANTE CAMBIO DE CRITERIO RESPECTO A REGISTROS DE JORNADA BIOMÉTRICOS
En noviembre de 2023, la Agencia Española de Protección de Datos (AEPD), ha publicado la Guía de Tratamientos de control de presencia mediante sistemas biométricos, fijando un cambio de interpretación muy relevante frente al que venía aplicando hasta el momento. Lo hace siguiendo las directrices del organismo internacional que vela por la aplicación del Reglamento General de
Protección de Datos (RGPD).
Este cambio de criterio implica que, salvo en casos muy concretos y justificados que acrediten la proporcionalidad de la medida, aun con el acuerdo del trabajador y los representantes de los trabajadores, en la práctica es dudoso poder recurrir a sistemas de registro horario a través de datos biométricos, como por ejemplo el de huella dactilar tan extendido en empresas españolas, el facial, la voz o el iris. Todo ello por su elevado riesgo, tratándose de categorías especiales de datos.
Por tanto, con efectos inmediatos es altamente recomendable que la empresa revise esta tipología concreta de registros de jornada si los tuviera implantados, aunque estén previstos en convenio o acuerdo colectivo con la finalidad de cumplir con la Ley.
Es importante recalcar que, para la AEPD, el consentimiento expreso del trabajador no legitima este tipo de registro de jornada biométrico.
Por otro lado, para que la empresa pueda tratar los datos biométricos de su plantilla, se establece con claridad la obligación de acreditar la realización con carácter previo y periódico de la Evaluación de Impacto para la Protección de Datos, lo que conlleva aparte de medidas de seguridad suficientes y de transparencia, aportar una adecuada justificación de la ponderación de la medida, resumida en idoneidad, necesidad y proporcionalidad del tratamiento.
Por último, la AEPD ha generado un listado de medidas obligatorias en caso de cumplimiento de todos los requisitos anteriormente expuestos, cuyo contenido explícito se pone de manifiesto:
“«• Informar a los trabajadores, o personas si no se está en un entorno
laboral, sobre el tratamiento biométrico y los riesgos elevados asociados
al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no hay posibilidad de revelar categorías especiales de datos adicionales.
- En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el art. 91 de la LOPDGDD»”.
En definitiva, a menos que la empresa reúna todos los requisitos legalmente establecidos para poder utilizar la recopilación de datos biométricos como medio para realizar registros horarios, se expone a un alto riesgo de ser sancionada. Recordamos que las multas en materia de Protección de Datos son muy elevadas. Y, todo ello, sin perjuicio de reclamaciones laborales que puedan surgir a raíz de estas situaciones (como demandas sindicales, de extinción indemnizada vía art. 50 ET, de vulneración de derechos fundamentales, petición de indemnización por daños, etc.)