Desde Dartem le traemos un nuevo artículo donde encontrará toda la información sobre el nuevo criterio de la Agencia Española de Protección de Datos (AEPD), sobre el uso de la huella dactilar y del reconocimiento facial, para realizar el registro horario de los trabajadores o el control de acceso a una empresa o establecimiento.
Este nuevo criterio lo ha establecido en su GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS, publicada el 23 de noviembre de 2023.
La AEPD ha cambiado su criterio anterior y ahora ha limitado tanto el uso de la huella dactilar y del reconocimiento facial para realizar el registro horario o el control de acceso, que de facto NO LO PERMITE, aunque sea con el consentimiento del trabajador.
¿Qué razón ha llevado a la introducción de ese nuevo criterio?
La razón de este cambio de criterio se encuentra en las últimas directrices del Comité Europeo de Protección de Datos al respecto, que las Autoridades competentes de los estados de la UE deben aplicar.
El problema legal es que la huella dactilar y el reconocimiento facial son datos biométricos. Entonces, pueden identificar a una persona de forma única, y por esta razón son datos muy sensibles. Su tratamiento está regulado de forma estricta en el Reglamento Europeo de Protección de Datos y tienen la consideración de datos de categoría especial.
En el ámbito laboral, a partir de ahora está prohibido el tratamiento de la impronta dactilar y el reconocimiento facial para el registro de jornada o el control de acceso. En caso de que lo autorizase expresamente, uno de los siguientes casos sería posible:
- Una norma con rango de ley.
- Un convenio colectivo que establezca toda una serie de garantías en el tratamiento de estos datos.
Sin embargo, estas normas actualmente no existen.
Motivos que han traído el nuevo criterio de la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ha interpretado que los artículos 20.3 y 34.9 del Estatuto de los Trabajadores (ETT), no son suficientes para autorizar el tratamiento de datos biométricos a tal fin. Tampoco el arte. 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP), para el personal sometido a relación jurídica administrativa.
Por tanto, para que una empresa pueda tratar la huella dactilar o utilizar el reconocimiento facial de sus trabajadores para el registro de jornada o el control de acceso, es necesario que se apruebe una ley que lo autorice o un convenio colectivo que le sea de aplicación y que establezca las garantías adecuadas para este tratamiento.
Tampoco sirve que el trabajador dé su consentimiento. La razón es que la AEPD considera que, en este contexto, existe un desequilibrio de poder entre el trabajador y el empleador que puede hacer que el consentimiento no se preste libremente. Así pues, en caso de que se ofrezca al trabajador una alternativa real que no necesite el tratamiento de datos biométricos para realizar el control de presencia, la AEPD concluye que el tratamiento de datos biométricos para el registro de jornada o el control de acceso no es necesario y, por tanto, no es legítimo.
¿Qué podemos sacar de este cambio de la Agencia Española de Protección de Datos?
En definitiva, en el actual estado de la cuestión. Hasta tanto no se apruebe una ley que específicamente permita el uso de los datos biométricos para el registro de jornada o el control de acceso, o sea de aplicación un convenio colectivo que establezca las garantías adecuadas para este tratamiento, mantener estos sistemas puede ser considerado por la AEPD como una falta grave y, por tanto, susceptible de imposición de sanciones.
La AEPD también da información a su guía. Cuando se pueda realizar este tratamiento de datos biométricos, es decir, cuando una ley lo permita, o cuando un convenio colectivo lo contemple, para que sea legal, se tendrán que aplicar las siguientes medidas:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el enlace de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricas y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde su diseño.