Os informamos a todos sobre la legitimación para el tratamiento de datos biométricos en los controles de presencia y su uso como medida de control empresarial (artículo 20.4 del ET) y para cumplimiento de la obligación del registro de jornada (artículo 34.9 ET).
La Agencia Española de Protección de Datos (AEPD) ha hecho público hace unos días su cambio de criterio en relación con el uso de datos biométricos en sistemas de control de presencia, bien como medida de control laboral, bien como medio para cumplimiento de la obligación legal del registro de jornada.
Hasta ahora la AEPD consideraba que el dato biométrico solamente tenía la consideración de dato especialmente protegido (categoría especial) cuando se utilizaba en procesos de identificación “uno contra muchos”, y no en los casos de autenticación de identidad realizados “uno contra uno”.
A partir de ahora, la AEPD se alinea con el Comité Europeo de Protección de Datos y considera que en ambos casos el dato biométrico (todos: huella, iris, reconocimiento facial…) debe considerarse como dato de categoría especial.
Eso supone que, para su tratamiento, además de una base de legitimación contemplada en el artículo 6 RGPD, debe poder encuadrarse el tratamiento de esos datos en una de las circunstancias enumeradas en el apartado 2 del artículo 9 RGPD, ya que el tratamiento de los datos personales pertenecientes a una categoría especial está prohibido por el apartado 1 del artículo 9, excepto en los casos en los que obedezca a una de las situaciones contempladas en su apartado segundo.
Las circunstancias concurrentes del art. 9.2 RGPD que se podrían alegar para legitimar el tratamiento son las siguientes:
A) 9.2.b, cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento o del interesado (trabajador/empleado sector público) en el ámbito del derecho laboral y de la seguridad y protección social.
Hasta ahora la AEPD decía “sí” para medida de control laboral (derecho del empresario) y “no” para el registro de jornada laboral (obligación del empleador).
A partir de ayer en ambos casos pasamos al NO SE PUEDE.
¿Han sufrido cambios en su redacción artículos de la RGPD, la LOPDGDD, o del Estatuto de los trabajadores?
Ninguno. Es un cambio de criterio de la AEPD, donde dije digo, digo Diego, motivado, argumenta, por el posicionamiento del CEPD en sus Directrices 5/2022 sobre el uso de reconocimiento facial.
La Agencia Española de Protección de Datos publicó en mayo de 2021 la guía “La Protección de Datos en las Relaciones Laborales”, en la que se abordaba en el apartado “Los datos biométricos” del capítulo 4.6 el empleo de biometría en la implementación de los tratamientos de registro de presencia.
En el texto se interpretaba la autenticación biométrica fuera de las categorías especiales de datos. Sin embargo, esta interpretación ha sido superada por las Directrices antes citadas, por lo que la interpretación de esta AEPD ha de adaptarse a las Directrices del CEPD mencionadas de 26 de abril de 2023.
B) 9.2.a: consentimiento del interesado, es decir el trabajador o empleado público.
De acuerdo con su definición contenida en el artículo 4.11 RGPD, el consentimiento del interesado» es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
La AEPD y, por extensión, el CEPD, entiende que en el contexto de las relaciones laborales se produce de forma general un desequilibrio de poder entre empleado y empleador que hace entender que el consentimiento en ese marco no se preste de forma libre.
¿Y cómo acreditar que el trabajador ha prestado libremente ese consentimiento para el tratamiento de sus datos biométricos para control de presencia? Cuando se ofrezca al trabajador/empleado público que no quiere consentir el tratamiento de sus datos biométricos una alternativa real que no necesite del tratamiento de datos biométricos para llevar a cabo ese control de presencia. Solo en ese caso se considerará que el consentimiento es libre.
Pero la AEPD en su guía dice que como esa alternativa real implica que el control de presencia se puede llevar a cabo sin necesidad de utilizar datos biométricos, el tratamiento de éstos se presenta como no necesario y, en consecuencia, no legítimo, porque de acuerdo con el principio de minimización, art. 5.1.c9 RGPD, para cada tratamiento se utilizaran únicamente los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
A tenor de lo expuesto, la AEPD concluye que tampoco el consentimiento permite legitimar el tratamiento de datos biométricos en los controles de presencia.
En resumen, a resultas del nuevo posicionamiento de la AEPD el sistema de control de presencia implantado por la empresa tratando datos biométricos carecen de legitimación y deberán buscarse alternativas que no impliquen el tratamiento de esa categoría especial de datos. La mayoría de los aparatos de recogida de datos biométricos, permiten el uso de tarjetas o códigos de acceso para realizar la misma función.
La AEPD no establece en su guía ningún plazo para la adaptación, no obstante, nuestra recomendación es que debería procederse a ese cambio cuanto antes mejor, por cuanto la empresa estaría en situación de incumplimiento, en concreto por tratar datos de categoría especial careciendo de base de legitimación y, por tanto, sancionable económicamente a través de la imposición de la correspondiente multa.
Hay que recordar que las multas por el uso indebido de datos especialmente protegidos son las más altas de la normativa.
Para cualquier consulta estamos a tu disposición.