La Agencia Española de Protección de Datos publicó el pasado 23 de noviembre una nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos que ha revolucionado el fichaje con este tipo de hardware desde entonces. Desde un punto de vista práctico y sencillo, ¿qué viene a incorporar esta nueva normativa al Reglamento General de Protección de Datos?
En primer lugar, cabe destacar que las guías publicadas por la AEPD no son fuente del derecho, es decir, no son leyes ni normativas. Son documentos meramente informativos, pero que fijan los criterios a los que se acogerá la Agencia cuando apliquen la normativa de protección de datos en sus procesos y resoluciones.
La Guía sobre tratamiento de control de presencia mediante datos biométricos publicada por la AEPD en noviembre de 2023 proporciona una serie de directrices y recomendaciones para garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD).
Para entender el contenido de la Guía, es necesario realizar un repaso de los antecedentes que han llevado a la Agencia a adoptar estas directrices.
En primer lugar, la Ley de Protección de Datos de 1999 (LO 15/1999, “LOPD”) no consideraba los datos biométricos como datos de “alto nivel” o datos sensibles, por lo que no se tenían que aplicar unas medidas de seguridad altas y se podía realizar un tratamiento siempre que se cumpliese con las disposiciones de la norma.
Por otro lado, el Tribunal Supremo en su Sentencia de 2 de julio de 2007 (5017/2003) consideró que utilizar la huella dactilar para el control horario no era una medida excesiva, ya que “no hay norma que prohíba el recurso a la tecnología escogida para realizar el control del cumplimiento del horario de trabajo. Su novedad o complejidad no la convierten en lesiva de los derechos fundamentales”.
Más adelante, en 2012 se reformó el Estatuto de los Trabajadores y se estableció en su artículo 20.3 la facultad al empresario de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento de los trabajadores de sus obligaciones. Esto facultaba a las empresas poder utilizar sistemas de fichaje basados en datos biométricos y, hasta entonces la jurisprudencia e incluso la Agencia de Protección de Datos, no encontraban ilegítimo el uso de estos datos, siempre y cuando se respetaran las disposiciones de la LOPD.
Todo cambia a partir del 2016 y, sobre todo en 2018, con la entrada en vigor del Reglamento General de Protección de Datos (“RGPD”). El RGPD catalogó los datos biométricos como “datos especialmente sensibles”, es decir, equiparándolos a los datos de salud, datos religiosos o de ideología, de orientación sexual, etc.
En concreto, en su artículo 9 establece que “quedan prohibidos el tratamiento de datos biométricos dirigidos a identificar de manera univoca a una persona física”. No obstante, el apartado 2 del artículo 9 establece las excepciones por las que se permite realizar el tratamiento de datos especialmente sensibles como son: 1) el consentimiento explícito de la persona interesada (art. 9.2.a); y 2) el cumplimiento de obligaciones legales (art. 9.2.b).
A partir de entonces, y a falta de jurisprudencia y de una postura al respecto por parte de la Agencia, las empresas continuaron utilizando los sistemas de control de presencia mediante datos biométricos en base al consentimiento del trabajador y en base al cumplimiento de las obligaciones y derechos en el ámbito laboral, es decir, nos remitimos al artículo 20.3 del Estatuto de los Trabajadores que faculta al empresario a establecer las medidas que considere para vigilar y controlar a sus trabajadores.
Hasta que, en 2022, la Agencia de Protección de Datos se pronunció por primera vez sobre si era legal o no utilizar sistemas de control de presencia mediante datos biométricos (Resolución PS/00052/2021). Para ello, hizo una diferenciación de dos conceptos:
- Por un lado, nos encontramos con la identificación biométrica que consiste en comparar los datos biométricos con una serie de plantillas biométricas almacenadas en una base de datos. Es decir, cuando un usuario introduce la huella en un terminal y se procede a buscar su identificación entre todas las plantillas almacenadas. Este sistema de identificación se llama (uno-a-varios).
- Por otro lado, encontramos la verificación/autenticación biométrica que es el proceso de comparación de los datos biométricos con una única plantilla biométrica almacenada (lo que se denomina una identificación “uno a uno”). Es decir, el usuario primero se identifica con una tarjeta o un código PIN, por ejemplo, y posteriormente introduce su huella dactilar. De esta manera el sistema únicamente verifica que el dato biométrico corresponde a la persona que se ha identificado previamente, y no realiza una búsqueda entre todas las plantillas.
La conclusión de la AEPD en esta Resolución fue que, en caso de optar por el método de verificación/autenticación biométrica, no se estaría realizando un tratamiento de datos sensibles.
¿Qué es lo que ha cambiado entonces? En abril de 2023, el Comité Europeo de Protección de Datos publicó la Directriz 5/2022 que desmantelaba el posicionamiento mantenido por nuestro Tribunal Supremo y de la Agencia Española de Protección de Datos (AEPD) hasta el momento. En esta directriz se unifica el criterio de autenticación y de identificación que el Comité Europeo de Protección de Datos había mantenido por separado, y pasa a incluir a ambas en “categoría especial” para el tratamiento de datos.
Frente a este cambio de criterio, la AEPD se ha visto obligada a reconsiderar su postura para alinearlo con el establecido por el Comité.
Tras asumir que los datos biométricos son datos de categoría especial, sea cual sea su método de identificación, en su Guía centra el debate en la posibilidad de levantar la prohibición de su tratamiento, al amparo del artículo 9.2 del RGPD, en concreto, de los puntos a) y b): excepción del consentimiento explícito y excepción del consentimiento de obligaciones legales, respectivamente.
Excepción del consentimiento explícito (art. 9.2.a) RGPD). La guía detalla cómo obtener el consentimiento de los empleados de manera adecuada y transparente para el tratamiento de sus datos biométricos. Se enfatiza la importancia de informar claramente sobre la finalidad del tratamiento y los derechos del empleado en relación con sus datos.
Sin embargo, la AEPD entiende que, aun contando con el consentimiento de los trabajadores, no se estaría cumpliendo el requisito de necesidad y, por tanto, no levantaría la prohibición del tratamiento. De acuerdo con la Directriz 5/2022 se entiende que, en las relaciones laborales, existe un desequilibrio de poder entre el empleado y el empleador, lo que impide que el consentimiento se otorgue de manera libre, de manera que la base jurídica no es idónea. En caso de demostrar que el consentimiento se ha dado de manera libre, entonces serviría como base jurídica para el tratamiento de los datos biométricos.
Para que se considere que el consentimiento se ha otorgado de manera libre, es necesario que el interesado (trabajador) disponga de una alternativa de libre elección, es decir, que el trabajador disponga de varias alternativas para realizar el registro horario, pero éste opte por realizarlo con datos biométricos.
Aun así, el hecho de que existan alternativas – y que éstas puedan ser menos invasivas a los datos biométricos – implicaría que el tratamiento dejaría de ser necesario.
Excepción del cumplimiento de obligaciones legales (art. 9.2.b) RGPD). Actualmente, en el ordenamiento jurídico de España no encontramos una normativa que incluya una autorización específica que justifique la necesidad de tratar datos biométricos para realizar el control horario.
No obstante, la AEPD menciona el Dictamen 2/2022 de la Autoridad Catalana de Protección de Datos: “a falta de previsión legal, cabe recordar que, de acuerdo con lo que prevé el artículo 9.2.b) del RGPD, la autorización puede estar prevista en el marco de un convenio colectivo. Previsión a entender también aplicable a los acuerdos sobre condiciones de trabajo del personal funcionario en el marco de la negociación colectiva. Por ello, en caso de que el convenio colectivo, el pacto o acuerdo resultante de la negociación prevea la utilización de datos biométricos a tal fin y establezca las garantías adecuadas respecto a los derechos fundamentales y de los intereses de las personas interesadas, este instrumento permitiría concluir la concurrencia de la excepción prevista en el artículo 9.2.b) del RGPD”.
¿Cómo deben actuar las empresas que hasta ahora ofrecían o tenían implantados sistemas biométricos en el fichaje y control de accesos.
Como he indicado anteriormente, esta Guía no constituye una norma legal por lo que el tratamiento de datos biométricos para el control horario no es ilegal ni está prohibido, únicamente se han detallado una serie de criterios y condiciones que comportan una complejidad a la hora de justificar dicho tratamiento.
Al no existir actualmente una norma con rango de ley que posibilite el uso de datos biométricos para la finalidad comentada, es conveniente que las empresas que cuenten con este sistema basándose en la excepción contemplada en el artículo 9.2.b) del RGPD, finalicen el tratamiento y realicen una reevaluación de impacto sobre el mismo. De igual manera, en caso de que el convenio colectivo aplicable a la empresa especifique el uso de datos biométricos, sería necesario reevaluar y superar la Evaluación de Impacto.
Por otro lado, si la base legal del tratamiento es el consentimiento explicito del trabajador y el tratamiento está justificado por la excepción contemplada en el artículo 9.2.a) del RGPD, es necesario que se realice la evaluación del tratamiento atendiendo a los nuevos criterios adoptados por la AEPD en su Guía y demuestre que: 1) la base legal debe ser el consentimiento explícito, 2) ha superado el análisis de necesidad, y 3) ha superado favorablemente la Evaluación de Impacto incluyendo el triple juicio de idoneidad, necesidad y proporcionalidad.
Es recomendable que las empresas en esta casuística se pongan en manos de expertos, ya que cada empresa tiene sus necesidades y contexto, y se debe estudiar y analizar cada caso en concreto. Cabe destacar que la AEPD no ha otorgado un periodo de gracia para la adaptación a los nuevos criterios.
¿Existe alguna casuística en la que la utilización de datos biométricos esté permitida en el entorno laboral?
Es imprescindible que las empresas que quieran implantar el control de presencia mediante datos biométricos o que decidan seguir realizando este tratamiento, acrediten de manera objetiva que este tratamiento es necesario e idóneo realizando.
Para ello, es obligatorio realizar una Evaluación de Impacto para la Protección de Datos (“EIPD”) que incluya el triple juicio de idoneidad, necesidad y proporcionalidad.
La empresa debe acreditar que el tratamiento de los datos biométricos para el registro horario es necesario y debe justificar que el empleo de otros sistemas existentes, que evitan el tratamiento de categorías especiales de datos, no son idóneos (por ejemplo, el uso de tarjetas de proximidad, claves PIN, teléfono móvil, PC, etc.).
Además, la empresa ha de justificar que el tratamiento es esencial, esto es, que no existen alternativas menos intrusivas que permitan controlar el horario ya que, de existir estas alternativas, se debe optar por su uso.
Una vez superada la EIPD, la Agencia establece unas medidas mínimas que deben implementarse por defecto:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
¿A qué sanciones se enfrentan las empresas que continúen utilizando los datos biométricos para el control de presencia?
Las empresas se enfrentan a unas sanciones muy elevadas, aunque todo depende de la situación en concreto y de las infracciones que se hayan cometido. Las sanciones que han interpuesto abarcan desde los 5.000€ hasta los 365.000€.
Hay que recordar que la licitud de cualquier tratamiento de datos personales puede ser sancionado con hasta 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.
En este sentido, en febrero de este año, la AEPD multó a un gimnasio con 27.000 euros por solicitar la huella dactilar a los usuarios para acceder al centro, pues que no solicitaban el consentimiento del usuario, ni se le daba alternativas al tratamiento de su huella. Asimismo, tampoco tenían realizada la correspondiente Evaluación de Impacto (Resolución PS/00413/2022).
Por otro lado, la resolución más reciente de la AEPD (en la cual han aplicado los criterios establecidos en la Guía) es contra el Burgos Club de Fútbol, sancionándolo con 200.000 euros por pedir a sus aficionados la huella dactilar para acceder al estadio sin haber demostrado la necesidad (Resolución PS/00483/2023). El Club no había realizado la Evaluación de Impacto, ni informaba a los interesados del tratamiento, ni el mismo se basaba en ninguna de las excepciones del artículo 9.2 del RGPD.
La multa más significativa es para la empresa CTC Externalización con 365.000 euros por solicitar la huella dactilar a los empleados para fichar sin informar adecuadamente, sin realizar un análisis de riesgos idóneo y sin implantar las medidas de seguridad necesarias (Resolución PS/00170/2023).
Por último, el Juzgado de lo Social nº 2 de Alicante estableció un precedente al otorgar una compensación por daños morales a un empleado, por el uso no consentido de sus datos biométricos, marcando un hito que podría abrir la vía para que otros empleados reciban indemnizaciones. Además, la misma empresa ya había sido sancionada previamente por la AEPD, con una sanción de 20.000 euros.
¿Cuáles son las alternativas más viables a los sistemas biométricos de marcaje?
Existen varias alternativas viables a los sistemas biométricos para el control de presencia en el entorno laboral. Una de las opciones más utilizadas son las tarjetas de proximidad o RFID ya que son una alternativa económica, si bien es cierto que el riesgo de suplantación es elevado y por eso muchas empresas optan por otros métodos.
Muchos de los softwares de gestión horaria, como es el caso de nuestro software Nubhora, permite realizar el registro de jornada a través del ordenador y a través de aplicación móvil. Son métodos donde el riesgo de suplantación es inferior, ya que el usuario debería tener acceso a los dispositivos
Otra alternativa es la implantación de un código PIN en los terminales de acceso o de presencia. Son una opción simple y económica. También hay terminales que permiten el registro mediante código QR.
En el mercado hay múltiples alternativas menos invasivas que los sistemas biométricos, aunque depende del contexto de cada empresa, sus circunstancias y necesidades que deberán analizar para escoger el sistema idóneo a implantar.
Finalmente, en la gran mayoría de terminales para el registro con huella o reconocimiento facial, disponen de algún método alternativo de registro. Lo más habitual son las tarjetas de proximidad o el código PIN. De manera que, aquellas empresas que dispongan de terminales pueden valorar la opción de activar la alternativa que se ofrece, siendo innecesario que adquieran otros terminales.