SE PROHÍBE EL USO DE HUELLAS DACTILARES Y RECONOCIMIENTO FACIAL PARA EL REGISTRO DE JORNADA

Dic 5, 2023

Desde el año 2019, las empresas tienen la obligación de llevar un registro horario de la jornada de trabajo de todos sus trabajadores, pudiendo elegir libremente el método de control. En este sentido, vemos que las empresas utilizan desde el método clásico de firmar en papel, hasta tarjetas electrónicas que permiten registrar las entradas y salidas, incluso sistemas de reconocimiento biométrico, como pueden ser, la huella dactilar o el reconocimiento facial.

Los sistemas de reconocimiento biométrico no sólo estaban bien vistos por el Tribunal Supremo y la Agencia Española de Protección de Datos (AEPD), sino que, además, no estaban limitados por ninguna norma. Es más, el propio Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, en su artículo 20.3, ampara el uso de estos sistemas de control al permitir que las empresas puedan adoptar los sistemas de videovigilancia y control que estimen oportunos para verificar el cumplimiento por parte del trabajador de sus obligaciones y deberes laborales.

Con la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se incluyeron los sistemas de identificación por huella dactilar y datos biométricos como “datos de categoría especial”, diferenciando los usos de “identificación” y “autenticación”. El simple hecho de diferenciar las funciones anteriores permitía que las empresas pudieran continuar usando el registro de jornada por huella dactilar de forma legal, puesto que, este sistema vendría simplemente a verificar la identidad de un trabajador previamente registrado, sin incurrir, por tanto, en los supuestos de identificación sino en los de autenticación, quedando fuera de “categoría especial”.

Sin embargo, el pasado mes de abril de 2023, el Comité Europeo de Protección de Datos unificó el criterio de autentificación e identificación dentro del RGPD afirmando que “si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especial de información personal”.

Dado este cambio de criterio, la AEPD se ha visto forzada a cambiar sus directivas y acaba de publicar una  Guía sobre el tratamiento de control de presencial mediante sistemas biométricos.

En esta Guía la AEPD ya considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Tal y como establece el Reglamento (UE) 2016/679, para poder tratar esas categorías de datos es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.

En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el artículo 9.2.b) del Reglamento (UE) 2016/679, la empresa debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad.

El problema radica en que no existe norma legal en España que habilite el uso de los datos biométricos:

  • Las facultades de dirección y control de la empresa y la obligación del registro de jornada recogidas, respectivamente, en los artículos 20.3 y 34.9 del Estatuto de los Trabajadores no contienen autorización suficiente específica para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo;
  • El consentimiento del interesado tampoco levantaría la prohibición del tratamiento de registro de jornada implementado con técnicas biométricas con carácter general;
  • Y, teniendo en cuenta que las empresas pueden utilizar cualquier otro medio menos intrusivo, el uso de dichos datos no superaría el requisito de necesidad. 

De acuerdo con lo dispuesto en el Reglamento (UE) 2016/679, los datos que se traten han de ser limitados a lo necesario para conseguir los fines del tratamiento. En los casos de registro de jornada y control de acceso con fines laborales, la finalidad del tratamiento no es tratar datos biométricos, sino controlar la hora de entrada y salida de los trabajadores, por lo que el uso de datos biométricos no es necesario para conseguir la finalidad perseguida.

En este sentido, con la nueva interpretación de la AEPD, debido a que no puede justificarse la recogida de este tipo de datos como un método de control de acceso, las empresas deberán sustituir el sistema de registro de huella dactilar o por reconocimiento fácil con otro tipo de sistema equivalente y menos intrusivo.

En caso contrario, las empresas podrían ser sancionadas por la AEPD basándose en la Guía sobre tratamientos de control de presencia mediante sistemas biométricos y sin tener en cuenta cuándo se instalaron dichos sistemas.