¿Puedo utilizar sistemas de reconocimiento facial o huella dactilar para el registro de la jornada laboral?
Recomendación sobre el registro de jornada laboral mediante reconocimiento facial o huella dactilar.
En los últimos años, muchas empresas han decidido aplicar las nuevas tecnologías a sus relaciones laborales para cumplir con la obligación del registro de jornada en un soporte que proporcione información fiable, inmodificable y no manipulable a posteriori, optando así por sistemas de registro de datos biométricos, fundamentalmente, reconocimiento facial o huella dactilar.
Sin embargo, muy recientemente se han producido dos hechos concretos que han llevado a numerosas compañías a tomar la decisión de cesar en la utilización de dichos sistemas:
Por un lado, la publicación de la nueva Guía de la Agencia Española de Protección de Datos (AEPD) sobre tratamientos de control de presencia mediante sistemas biométricos, que cambia el criterio anterior de la Agencia (el la AEPD consideraba, fundamentalmente, que el tratamiento de huella digital – dato biométrico – era apto para el control de acceso del personal para el registro de la jornada incluso sin necesidad de consentimiento de la persona trabajadora, aunque con matizaciones).
Sistemas para el control de presencia que no se ajustan a la legalidad.
El nuevo criterio, básicamente, apunta a que dichos sistemas para el control de presencia no se ajustan a la legalidad (aunque no lo prohíbe jurídicamente, lo hace prácticamente imposible en la práctica), en base a los siguientes argumentos principales que resumimos:
- Se considera un tratamiento de datos de “alto riesgo”, porque incluye categorías especiales de datos, lo que requiere una norma con rango de ley que autorice específicamente a utilizar datos biométricos para dicha finalidad, y la normativa española no tiene base legal suficiente para considerar necesario el tratamiento de base de datos biométricos con la finalidad de registrar la jornada laboral.
- Incluso ni con el consentimiento expreso de la persona trabajadora podría plantearse que el tratamiento de datos biométricos pudiera estar permitido, pues se desprende que existe un desequilibrio en la relación laboral, entre la empresa y la persona trabajadora (parte fuerte vs. parte débil), que, en cierta medida, vicia dicho consentimiento.
- En caso de que hubiera base legal, sería imprescindible contar con una evaluación de impactos previa en materia de protección de datos, así como con la debida justificación de que se trata de una medida idónea, necesaria y proporcional, además de otros requisitos de transparencia, seguridad, información y recopilación de consentimiento libre, de forma que se cumpliera con el principio de minimización de datos.
¿Por qué el cambio de criterio de la AEPD?
Para armonizar la interpretación con los demás países de la UE, y es que, la mayoría de ellos ofrecen muchas más garantías en materia de protección de datos.
Por otro lado, una reciente Sentencia un Juzgado de lo Social de Alicante que condena a una empresa a abonar una indemnización de 6.251.-€ a un trabajador al que se le imponía registrar su jornada mediante reconocimiento facial, por vulneración de su derecho a la intimidad personal y familiar y a la propia imagen, así como la obligación de cesar en la utilización de dicho sistema biométrico de fichaje. Además, se menciona en dicha resolución que la Agencia Española de Protección de Datos (AEPD) le impuso una sanción, a dicha empresa, de 12.000.-€ por lo mismo. Y ello porque concurrían las siguientes claves:
- La medida que se imponga debe cumplir con tres requisitos fundamentales: que sea idónea, necesaria y proporcional, además de contar con una finalidad lícita para la violación de derechos fundamentales. En este caso, se consideró que la medida no cumplía dichas exigencias legales. Además, no se le ofrecieron medidas alternativas para registrar su jornada, como sí se hizo con otras trabajadoras.
- La empresa no realizó la preceptiva evaluación de impacto en protección de datos de la implantación del sistema de datos biométricos, cuando todo sistema de control biométrico (principalmente, reconocimiento facial o huella dactilar) lo requiere.
- El trabajador no fue informado de que la foto que se tomó al inicio de la relación laboral iba a tener la finalidad de registrar la jornada del mismo mediante un sistema biométrico, y, además, no había dado su libre consentimiento al uso de dicho sistema con dicha finalidad.
Conclusión:
Por todo lo anterior, y a sabiendas, no sólo del riesgo en materia laboral, sino también por las cuantiosas sanciones que impone la AEPD, en lo relacionado con lo comentado es recomendable ser cautos, por ejemplo, cesando en el uso de dichos sistemas, cambiándolos por otros como tarjetas personales o aplicaciones informáticas.