Biométricos para registro de jornada laboral y seguridad
El uso de Biométricos para el control de jornada laboral y de acceso, está en boca de todos con motivo de la publicación, el pasado día 23 de noviembre, de la “Guía sobre la utilización de datos biométricos para el control de presencia y acceso” elaborada por la AEPD, en donde se exponen nuevos criterios para la utilización de este tipo de datos personales, que de forma habitual se utilizan para el registro de jornada laboral y el control de seguridad de accesos a instalaciones y con ello ajustarse a los requisitos establecidos en la normativa de protección de datos (RGPD 679/2016).
Biométricos: datos de alto riesgo
Recordemos que el artículo 4, 14) del RGPD, identifica a los datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
A través de un dato biométrico (ej. huella dactilar o reconocimiento facial) podemos identificar a una persona de manera única e inequívoca, de ahí el alto riesgo que conlleva su tratamiento para los derechos y libertades fundamentales de las personas.
Asimismo, los datos biométricos están considerados de categoría especial según el artículo 9 del RGPD, su tratamiento considerado de alto riesgo y prohibido salvo en los supuestos establecidos en el artículo 9.2 a) y b) del RGPD, es decir que:
1. La persona trabajadora de su consentimiento explícito para el tratamiento de sus datos biométricos.
2. Cuando el tratamiento de datos biométricos es necesario para el cumplimiento de una obligación legal.
Con esto se podría entender que si la empresa solicita autorización al trabajador para tratar sus datos biométricos y además le informa que dicho tratamiento es necesario para cumplir con una obligación de la empresa, (el preceptivo registro de jornada laboral), estaríamos cumpliendo con lo establecido en los mencionados artículos 9.2 a) y b), pero la conclusión de la AEPD expuesta en la nueva Guía de biométricos, determina que esto NO es así y que con eso no basta. Te explicamos el motivo:
La firma del trabajador por sí sola es insuficiente:
El consentimiento por sí solo no será suficiente, porque la AEPD considera que existe una situación de desventaja del trabajador frente al empresario, en donde si no se acepta el tratamiento de datos biométricos, el trabajador puede comprometer su situación laboral.
Cumplir con la obligación de realizar el registro de jornada laboral:
La AEPD entiende que la obligación de la empresa de cumplir con el artículo y 34.9 del Estatuto de los Trabajadores, que le exige llevar un registro de jornada laboral de cada trabajador, no implica necesariamente que se realice mediante datos biométricos ya que no existe en el ordenamiento jurídico español una norma con rango de ley que disponga explicitamente el tratamiento de los datos biométricos para ese fin, asimismo, determina que dicho registro se puede realizar por otros medios menos intrusivos.
Aquí hay un cambio de interpretación por parte de la AEPD, en relación con lo manifestado en la Guía “La Protección de Datos en las Relaciones Laborales” de mayo de 2021, en donde la licitud se sustentaba en el cumplimiento de los art. artículos 20.3 y 34.9 del Estatuto de los Trabajadores.
Requisitos para usar biométricos
Así que estamos ante una nueva situación y solo se podrán tratar datos biométricos si se cumplen los siguientes supuestos:
Licitud del tratamiento:
Si el tratamiento no es lícito, es imposible llevarlo a cabo. Es decir, que es necesario levantar la prohibición y esta se podría llevar a cabo mediante un consentimiento realmente libre que permita a la persona decidir sobre el uso de sus datos biométricos u optar por otra alternativa, previa información al trabajadador y de forma clara sobre los riesgos elevados que implica el tratamiento de datos biométricos.
Otra posibilidad que otorgaría licitud al tratamiento, es que los convenios colectivos laborales se contemplara el registro de jornada laboral o el control de accesos mediante el uso de datos biométricos.
Elección del sistema biométrico
Superado el paso imprescindible de la licitud, hay que elegir un sistema que garantice los derechos y libertades de los usuarios del sistema biométrico y algo que podría ayudar a dicha elección será solicitar al proveedor o fabricante para que aporte su propia Evaluación de Impacto del sistema a implantar por el responsable y que dicho sistema certifique que el sistema de lectores biométricos cumple al menos con lo siguiente:
Medidas organizativas
- Que dicho sistema pueda revocar el vínculo de identidad entre la plantilla biométrica y la persona física
- Suprimir los datos biométricos cuando éstos ya no se relacionen con la finalidad por la cual fueron recabados.
- Minimización del dato biométrico, tratando sólo lo necesario y sin datos adicionales.
- Que el sistema esté contemplado y autorizado por los convenios colectivos y que cumple con el conjunto de garantías con relación a estos tratamientos.
Medidas técnicas
- Que tenga garantías que impidan el uso de las plantillas biométricas para otra finalidad distinta al registro de la jornada laboral como medida de control y el control de accesos como medida de seguridad.
- Cifrar la información del dato biométrico, garantizando la confidencialidad del mismo, así como su disponibilidad e integridad.
- Utilizar tecnologías que impidan la interconexión de bases de datos biométricos.
- Revisión periódica de los sistemas, así como sus actualizaciones.
- Si se utiliza Inteligencia Artificial en los sistemas biométricos, deberán respetar lo dispuesto en las normas del sector, como el futuro Reglamento Europeo sobre Inteligencia Artificial.
Realizar una Evaluación de Impacto:
Superado lo expuesto anteriormente, el Responsable deberá de elaborar una Evaluación de Impacto (EIPD) la cual deberá ofrecer un resultado favorable tras el análisis de los riegos del tratamiento de los datos biométricos, superado la necesidad, idoneidad y proporcionalidad del sistema que se pretende implantar.
Ello significa que el responsable del tratamiento tendrá que poder justificar y documentar, que no existe otra medida menos intrusiva para el fin deseado (registro de jornada laboral) superando así el requisito de necesidad, asimismo, que el tratamiento del dato biométrico es idóneo para la finalidad perseguida y que es proporcional, ya que genera más beneficios que desventajas para los interesados.
¿Quito los Lectores biométricos?
Como hemos visto, implantar un sistema de registro de jornada laboral o de control de accesos mediante el uso de datos biométricos, implica asumir importantes riesgos e implicaciones legales de las que hay que salir airoso y con garatías para evitar sanciones, lo que debe servir para decidir si compensa su uso.
Si necesitas asesoramiento personalizado contacta con tu consultor o solicita asesoramiento en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o dejar tu mensaje en este formulario: