Suscríbete

Control horario biométrico, Ana Belén Muñoz explica cómo afecta a las empresas.

Cómo debe usar la empresa el control horario biométrico

Ana Belén Muñoz, miembro del Consejo Asesor de IA+Igual, explica cómo afecta a las empresas el documento de la Agencia Española de Protección de Datos (AEPD) sobre el sistema de control horario utilizando datos biométricos de los trabajadores.

Madrid, 12 de marzo. Ana Belén Muñoz, profesora de Derecho del Trabajo y Seguridad Social y miembro del Consejo Asesor de IA+Igual, ha difundido en el blog El Foro de Labos un interesante artículo acerca de cómo afecta el nuevo documento de la Agencia Española de Protección de Datos (AEPD) a las empresas que han implantado un sistema de control horario utilizando datos biométricos de las personas trabajadoras, es decir (registro a través de la huella dactilar), que afecta  a todos los datos biométricos (el reconocimiento facial o del iris, la voz, entre otros). Este documento cambia el criterio aplicado hasta ahora en España sobre la materia.

Para comprender el alcance de la modificación, resulta útil recordar cuál ha sido el criterio aplicado hasta ahora por la AEPD. El tratamiento de la huella digital para el control de acceso por los trabajadores podría considerarse una medida de control amparada en el artículo 20.3 del ET (y también en el artículo 34.9 ET), por lo que no exigiría el consentimiento del empleado. No obstante, para implantar esta medida debe aplicarse el principio de minimización; es decir, debe limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz e informar a la persona trabajadora sobre esta medida.

La AEPD ha señalado en diversos informes que existen buenas prácticas que permiten el control a través de la huella digital sin que el sistema tenga que almacenar el dato biométrico (por ejemplo, por su incorporación a una tarjeta inteligente que se contrástase con la huella y se mantuviera siempre en poder del trabajador) (Informe 0324/2009, Documento de trabajo de la AEPD de 2018 y Guía La protección de datos en las relaciones laborales de 2021, pp. 30-32).

La misma doctrina ha sostenido también la Sala 3ª del Tribunal Supremo en la STS 2.7.2007 (Rº 5017/2003) y doctrina de suplicación (entre otras, la STSJ de Murcia de 25.1.2010, Rº 1071/2009). En la STSJ de Islas Canarias de 21.7.2007 (Rº 93/07), sobre idéntico asunto, se rechaza el argumento sindical de que este control horario reduzca las personas a un algoritmo, ya que el alcance del sistema no llega a tanto.

En este punto, la posición general en España fue distinta a la línea defendida por otros países (Austria, Francia, Italia y Noruega) que, advertían de los peligros del uso de los datos biométricos para el control horario y aplicaban una interpretación del artículo 9 del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) más garantista para los derechos de las personas empleadas. 

A partir de noviembre de 2023 contamos con una nueva interpretación legal que formula la AEPD en la Guía sobre Tratamientos de Control de Presencia mediante Sistemas biométricos, teniendo en cuenta el criterio del Comité Europeo de Protección de Datos. En la nueva guía se establece lo siguiente:

  1. Normativa actual española: no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. Ni los artículos 20.3 y 34.9 del ET para las personas trabajadoras ni el artículo 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP) para los empleados públicos constituyen una base legal para autorizar este uso en las empresas y en las entidades públicas. En el caso de que el convenio colectivo incluyera el registro horario basado en los datos biométricos de la persona trabajadora, se debería justificar la necesidad de este tratamiento y por qué no son adecuados los sistemas existentes como tarjetas, certificados, claves, sistemas contact-less, etc.
  2. Consentimiento de la persona: en un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento de la persona empleada no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre la persona trabajadora y la empresa o entidad pública que es la responsable del tratamiento.
  3. Enfoque preventivo: en el supuesto que hubiera base legal para llevarlo a cabo, las empresas y entidades públicas deberán superar la evaluación de impacto, previamente al inicio del tratamiento y cumplir determinadas garantías, obligaciones de transparencia y seguridad.

La razón de este cambio es que este tipo de tratamiento de datos es de alto riesgo, pues incluye categorías especiales de datos, entre ellos, datos de salud. Por ejemplo, en sistemas biométricos basados en el étnico, reconocimiento facial se pueden tratar datos que revelan el origen racial  y también se puede extraer información de salud, problemas físicos o psicológicos como en el caso de la voz, incluso algunos sistemas de identificación mediante huella dactilar permiten el registro de parámetros como la temperatura o la presión sanguínea. A lo que se suman factores como que la tecnología ofertada en el mercado suele recopilar más información de la que realmente es necesaria para la finalidad del tratamiento o con mucho más detalle. La situación descrita puede vulnerar el principio de minimización de datos.

Como reflexión final, desde nuestro punto de vista las empresas y entidades públicas deben revisar los sistemas de registro horarios si éstos se basan en los datos biométricos de las personas empleadas e implantar, en su caso, otros sistemas más respetuosos con los derechos fundamentales de protección de datos de carácter personal e intimidad. Igualmente, sería deseable que los convenios colectivos depurasen aquellas cláusulas que legitimen el uso de esta tipología de sistemas de control horario.

Información relacionada

  • Biometría y sistemas automatizados de reconocimiento de emociones: implicaciones jurídico-laborales, Ana Belén Muñoz. Tirant Lo Blanch, 2023.
  • Blog Foro de Labos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

es_ESSpanish
Scroll al inicio