La AEPD se posiciona de forma contraria respecto al empleo de sistemas de biometría para el control de jornada del personal.
En la era digital, la integración de las tecnologías mas innovadoras ha redefinido la manera en que las organizaciones gestionan sus recursos y aseguran la eficiencia operativa. En este contexto, la biometría ha emergido como una herramienta revolucionaria en todos los sectores, incluido el entorno laboral, proporcionando soluciones avanzadas para el control de acceso y la gestión del tiempo de trabajo.
Sin embargo, en un giro significativo en el panorama empresarial que veníamos viendo en los últimos años, la Agencia de Protección de Datos ha emitido la GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS, posicionándose de forma contraria respecto al empleo de tecnologías biométricas en el entorno laboral, unificando toda la doctrina generada hasta ahora.
Esta decisión, que afecta directamente a empresas que han buscado implementar sistemas biométricos de control de acceso y gestión de jornada, plantea cuestionamientos fundamentales sobre la privacidad y protección de datos en el ámbito laboral.
Entonces ¿Puedo emplear sistemas de biometría para el control de jornada de mi personal?
En este artículo, examinaremos en detalle los argumentos presentados por la AEPD, explorando las preocupaciones específicas que llevaron a esta decisión. En un contexto donde la privacidad se erige como un pilar esencial, este revés regulatorio plantea cuestiones cruciales sobre el equilibrio entre la innovación tecnológica y la salvaguarda de los derechos individuales en el ámbito profesional.
En el complejo escenario de la gestión laboral, el uso de datos biométricos para el registro de jornada y control de acceso ha enfrentado un obstáculo significativo en España. La prohibición, basada en el artículo 9.2.b) de la normativa de protección de datos, exige que el responsable cuente con una norma de rango legal que especifique la posibilidad de utilizar datos biométricos con fines laborales, normativa actualmente inexistente en el marco legal español. Esta cuestión ha sido remarcada en la ya mencionada guía; “el responsable que busca utilizar datos biométricos con fines laborales debe respaldarse en una norma de rango legal que clarifique esta posibilidad”.
Por otro lado, también se nos recuerda que, incluso si el individuo otorga su consentimiento, este no puede servir como base única para establecer la licitud del tratamiento. Este enfoque se fundamenta en el reconocimiento de una situación general de desequilibrio entre el interesado y el responsable del tratamiento, que se intensifica en el ámbito laboral. En un contexto donde la relación laboral implica inherentemente una asimetría de poder, el consentimiento individual puede estar condicionado por la dependencia económica o la necesidad de conservar el empleo, generando un desequilibrio que compromete la validez del consentimiento en términos de libre elección. Este paradigma legal destaca la necesidad de abordar cuidadosamente la dinámica entre empleador y empleado en la implementación de tecnologías biométricas, subrayando la importancia de garantizar la protección efectiva de los derechos individuales en el entorno laboral.
Finalmente, cuando se traslada el escenario del control de acceso fuera del ámbito laboral, es esencial comprender que la ejecución de un contrato por sí sola no constituye una circunstancia capaz de levantar la prohibición, como lo establece el artículo 9.2 del Reglamento General de Protección de Datos (RGPD). Esta peculiaridad normativa sugiere que, incluso en situaciones donde la relación contractual podría ser una motivación legítima para el control de acceso, esta razón no se erige como suficiente para sortear las restricciones impuestas sobre el tratamiento de datos biométricos. De manera similar, el consentimiento tampoco emerge como una solución viable, ya que el tratamiento de datos biométricos se cataloga como de alto riesgo, y cualquier consentimiento otorgado debería superar el riguroso requisito de necesidad establecido para tales procedimientos. Este enfoque cauteloso resalta la sensibilidad inherente a los datos biométricos, subrayando la necesidad de medidas adicionales que vayan más allá de las simples transacciones contractuales o el consentimiento individual en situaciones donde el riesgo asociado con el tratamiento de estos datos es considerable.
Todo esto ha dado lugar a numerosas sanciones, la última de ellas constituía una multa de 26.000€ a una empresa de fabricación por el uso del reconocimiento facial a sus empleados sin cumplir la normativa, derivando, además, en la indemnización a uno de los trabajadores, abriendo un nuevo paradigma en el entorno sancionador de la AEPD.
En conclusión, en el análisis del uso de datos biométricos en el registro de jornada y control de acceso, la carencia de una norma legal específica en España, según el artículo 9.2.b) del RGPD, representa un desafío destacado. La ausencia de esta directriz legislativa crea incertidumbre en la aplicación de tecnologías biométricas con fines laborales. Además, en el ámbito laboral, se destaca la limitación del consentimiento para levantar la prohibición, dada la situación de desequilibrio entre el individuo y el responsable del tratamiento. Por último, fuera del ámbito laboral, se evidencia que la ejecución de un contrato y el consentimiento son insuficientes para superar la prohibición del tratamiento de datos biométricos, resaltando la necesidad de enfoques más rigurosos y medidas adicionales en el tratamiento de datos sensibles en contextos contractuales. Estas conclusiones subrayan la urgencia de una revisión normativa en España para abordar las complejidades y proteger adecuadamente la privacidad en la era digital.
Descargar nueva guía de la Agencia Española de Protección de Datos – AEPD sobre el tratamiento de control de presencia mediante sistemas biométricos
Autora: María Teresa Egea