Utilización de datos biométricos para el control laboral y el registro de jornada de los trabajadores.

Consultoría en protección de datos

En relación con el control laboral de los trabajadores, el artículo 20.3 del Estatuto de los Trabajadores (ET) faculta al empresario para adoptar las medidas que estime más oportunas para la vigilancia y control del trabajador en sus obligaciones laborales. Además, el artículo 34.9 del mismo texto legal, obliga a las empresas a registrar la jornada de sus trabajadores y conservar dichos registros durante el plazo de 4 años.

La imprecisión de dichos preceptos, unido a la desinformación de las empresas en la utilización de datos biométricos para las finalidades expuestas, ha llevado a que un gran número de éstas implanten sistemas de fichaje y control laboral mediante la lectura de la huella dactilar del trabajador o el reconocimiento de su rostro (reconocimiento facial), teniéndose únicamente en cuenta criterios de efectividad, comodidad, oportunidad y modernidad, sin plantearse las cuestiones legales en materia de protección de datos que ello implica.

Desde SNL Group queremos informar de las últimas novedades en esta materia, con el fin de ofrecer el mejor asesoramiento posible y evitar de este modo sanciones económicas, así como la vulneración de los derechos fundamentales de los trabajadores.

Es indiscutible que la utilización de datos los biométricos para el control laboral y registro de jornada es cómodo, rápido y evitan la suplantación de otros trabajadores (la huella dactilar o puntos del rostro son únicos) que si permiten otros sistemas como las claves secretas o las tarjetas sin contacto, pues podría darse el caso de trabajadores que fichan en nombre de otros.

Sin embargo, estas justificaciones no son suficientes para implantar sistemas de control laboral y registro de jornada mediante la utilización de datos biométricos.

Nuestra recomendación, en base a los principios de privacidad desde el diseño y por defecto, de responsabilidad proactiva y de minimización de datos, consiste en no utilizar estos sistemas con las finalidades expuestas si, mediante la utilización de otros medios o sistemas menos intrusivos, es posible lograr los mismos fines. Por ejemplo, para el registro de jornada y control de accesos podrían utilizarse alguno de los siguientes métodos, de forma individual o conjunta:

• Acceso a instalaciones y registro de jornada mediante la utilización de tarjetas personales en dispositivos de fichaje.
• Utilización de códigos numéricos en dispositivos de fichaje.
• Utilización de Apps o programas informáticos para el registro de jornada y fichaje.
• Instalación de videocámaras en los puntos de acceso y/o fichaje
• Utilización de plantillas en soporte papel o electrónico para el registro de jornada

Las empresas deberán valorar, según su actividad, número de empleados y demás circunstancias particulares, qué sistema o conjunto de sistemas son los más adecuados.

Por otro lado, si aún disponiendo de los métodos expuestos, se desea utilizar datos biométricos para los fines mencionados, las empresas deberán tener en consideración:

• Que los datos biométricos son datos personales (es aplicable la normativa de protección de datos), y, además, se trata de categorías especiales de datos (artículos 4.14 y 9.1del RGPD). En este sentido, para la AEPD, los datos biométricos solamente serán considerados categorías especiales de datos personales cuando tengan la finalidad de identificar (uno a varios) a los trabajadores, no cuando sirvan para autenticar / verificar al empleado (uno a uno). Para la APDCAT, los datos biométricos siempre serán considerados categorías especiales de datos personales.
• Se deberá determinar la base jurídica del tratamiento aplicable (art. 6.1 RGPD).
• Se deberá verificar que concurra alguna de las excepciones del artículo 9.2 RGPD a la prohibición genérica del tratamiento de datos personales.

En este punto existe cierta discrepancia entre la AEPD y la APDCAT, pues la primera considera que la previsión legal para su utilización se encuentra en los artículos de la norma laboral mencionados anteriormente; mientras que la APDCAT considera que las normas mencionadas son imprecisas, y debería contemplarse en una norma con rango de ley o convenio colectivo la posibilidad de utilizar sistemas de control laboral y registro de jornada con datos biométricos. De lo contrario, para la APDCAT no podría acudirse a la excepción del artículo 9.2.b RGPD al no existir en nuestro ordenamiento jurídico norma alguna que autorice expresamente estos sistemas biométricos de control laboral y registro de jornada (entre otros, Dictamen APDACT 63/2018 y 2/2022).

• Deberá realizarse una prueba de proporcionalidad con el fin de determinar si el tratamiento es necesario para lograr un fin legítimo y valorar si existen otros sistemas menos intrusivos con el que se obtenga idéntica finalidad, pues no es válido únicamente alegar que el sistema biométrico es más cómodo o eficiente para la empresa.
• Será preciso realizar una evaluación de impacto en la protección de datos (EIPD) de manera previa a la instalación del sistema biométrico de control laboral y registro de jornada.
• Se deberá informar a los trabajadores de forma clara, expresa, concisa y transparente de la utilización de sus datos biométricos con los fines de control labora y/o registro de jornada, cumpliendo con los requisitos del artículo 13 del RGPD.

Si analizados todos los puntos anteriores, especialmente la prueba de proporcionalidad y la evaluación de impacto (EIPD), la empresa puede concluir que la utilización de datos biométricos para las finalidades expuestas resulta proporcionada, deberán tenerse en cuenta, entre otras, las siguientes medidas técnicas con el fin de evitar riesgos potenciales para la privacidad de los trabajadores (Dictamen 3/2012 del Grupo de Trabajo del Artículo 29):

• Conviene evitar el almacenamiento de datos biométricos en bruto (por ejemplo, la imagen completa de la huella dactilar), y conservar solamente las plantillas obtenidas a partir de estos datos.
• La plantilla deberá extraerse de manera que se pueda prever que no podrá ser utilizada por otros responsables del tratamiento para fines similares.
• Se deberá dar preferencia a los sistemas de almacenamiento descentralizados, evitando la creación de bases de datos centralizadas con este tipo de datos. De acuerdo con el modelo descentralizado propuesto, las plantillas biométricas se conservarían exclusivamente en poder de la persona interesada mediante una tarjeta o dispositivo, de manera que la pérdida de las mismas tendría un efecto limitado. No se recomienda el almacenamiento de huellas y otros datos biométricos en servidores o en el mismo dispositivo/lector.
• Los datos deberán conservarse cifrados.
• Utilización de sistemas de autenticación/verificación biométrica (uno a uno) y no de identificación biométrica (uno a varios).
• Adquirir los lectores o dispositivos y el software necesario con proveedores de referencia que cumplan con la normativa sobre protección de datos y seguridad de la información.

Como puede observarse, la utilización de datos biométricos supone para las empresas una importante inversión de tiempo y dinero. Es por ello por lo que, a excepción de supuestos muy puntuales, se desaconseja la utilización de datos biométricos para el registro de jornada y control laboral de los trabajadores.