Datos biométricos: registro de jornada y control laboral

Datos biométricos: registro de jornada y control laboral

Cada vez es más habitual que las empresas y administraciones públicas utilicen sistemas de fichaje y registro de jornada que utilizan datos biométricos de los empleados como, por ejemplo, la huella dactilar o el reconocimiento facial.

Una de las consultas más recurrentes de las empresas y administraciones públicas consiste en si la normativa sobre protección de datos actual permite utilizar los datos biométricos de los trabajadores con las finalidades mencionadas. En este sentido, la respuesta siempre es la misma: depende.

El artículo 20.3 del Estatuto de los Trabajadores (ET) permite al empresario “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”. Por otro lado, el artículo 34.9 del mismo texto legal impone la obligación al empresario de registrar la jornada de sus trabajadores y conservarla durante el plazo de 4 años.

El problema que encontramos con estas normas es su imprecisión, pues ni el artículo 20.3 ET autoriza de forma expresa la utilización de sistemas biométricos para el control laboral, ni el art. 34.9 ET determina qué mecanismos pueden usarse para llevar a cabo el registro de jornada de los trabajadores.

Para poder determinar si es ajustado a derecho utilizar sistemas de control laboral y de registro de jornada utilizando datos biométricos de los empleados, se deben analizar los siguientes puntos:

  • Analizar si concurre una base jurídica adecuada del artículo 6.1 del RGPD. En este supuesto, se podría acudir a la base jurídica del artículo 6.1.b RGPD (ejecución del contrato laboral); artículo 6.1.c (cumplimiento de obligaciones legales); y artículo 6.1.f RGPD (interés legítimo del empresario).
  • Además, al tratarse los datos biométricos de categorías especiales de datos según los artículos 4.14 y 9.1 RGPD, deberá concurrir alguna de las excepciones del artículo 9.2 RGPD a la prohibición genérica de su tratamiento. En el supuesto analizado sería posible acudir a la excepción del artículo 9.2.b del RGPD (el tratamiento es necesario para el cumplimiento de obligaciones o ejercicio de derechos del empresario o interesado en el ámbito laboral o de la seguridad y protección social).

En este punto existe cierta discrepancia entre la AEPD y la APDCAT, pues la primera considera que la previsión legal para su utilización se encuentra en los artículos de la norma laboral mencionados anteriormente; mientras que la APDCAT considera que las normas mencionadas son imprecisas, y debería contemplarse en una norma con rango de ley o convenio colectivo la posibilidad de utilizar sistemas de control laboral y registro de jornada con datos biométricos. De lo contrario, para la APDCAT no podría acudirse a la excepción del artículo 9.2.b RGPD al no existir en nuestro ordenamiento jurídico norma alguna que autorice expresamente estos sistemas biométricos de control laboral y registro de jornada (entre otros, Dictamen APDACT 63/2018 y 2/2022).

  • Deberá realizarse una prueba de proporcionalidad con el fin de determinar si el tratamiento es necesario para lograr un fin legítimo y valorar si existen otros sistemas menos intrusivos con el que se obtenga idéntica finalidad, pues no es válido únicamente alegar que el sistema biométrico es más cómodo o eficiente para la empresa.
  • Será preciso realizar una evaluación de impacto en la protección de datos (EIPD) de manera previa a la instalación del sistema biométrico de control laboral y registro de jornada.
  • Por último, para la AEPD, los datos biométricos solamente serán considerados categorías especiales de datos personales cuando tengan la finalidad de identificar (uno a varios) a los trabajadores, no cuando sirvan para autenticar / verificar al empleado (uno a uno). Para la APDCAT, los datos biométricos siempre serán considerados categorías especiales de datos personales.

Como puede deducirse de todo lo expuesto, la decisión de utilizar o no sistemas biométricos para el registro de jornada y el control laboral no es algo que deba tomarse a la ligera, pues una decisión incorrecta podría acarrear sanciones y apercibimientos por parte de las autoridades de control en protección de datos. Por ello es importante contar con el asesoramiento de consultores especializados que puedan analizar la situación y asesorar a la empresa para tomar la decisión más adecuada.

Algunos ejemplos de sanciones impuestas por la AEPD por utilización de datos biométricos los encontramos, entre otros:

  • Procedimiento sancionador de la AEPD PS/00050/2021. Se impone a una empresa una sanción de 20.000€ por utilización de datos biométricos para el registro de jornada.
  • Procedimiento Sancionador de la AEPD PS/00128/2020 con apercibimiento a un ayuntamiento por utilizar sistemas biométricos para registrar la jornada de los empleados públicos.
  • Procedimiento Sancionador de la AEPD PS/00120/2021. Se impone una sanción de 3,15 millones de euros a una conocida empresa de supermercados por utilización del reconocimiento facial con clientes y empleados.

 

Genís vera Sampedro

Técnico Protección de Datos

SNL GROUP

Suscríbase a nuestra Newsletter

Y obtenga información relevante sobre Consultoría Legal y Formación

SNL Consulting
Abrir chat
Hola, 👋, ¿en qué podemos ayudarte?