¿Pueden las empresas usar sistemas biométricos para llevar a cabo el registro diario de jornada?

En noviembre de 2023 se ha producido, con la publicación por la Agencia Española de Protección de Datos de su “Guía sobre tratamientos de control de presencia mediante sistemas biométricos“, un cambio de criterio en lo que respecta al uso de sistemas biométricos por las empresas y otros organismos para poder llevar a cabo el control de presencia y de jornada laboral, habiéndose pasado de estar permitido su uso a considerarse ahora como no conforme con la normativa y, por lo tanto, que no esté autorizado.

En primer lugar, hay que tener muy claro que en protección de datos personales, según ha establecido el Reglamento General de Protección de Datos, hay dos tipos de datos, los “normales” y los de categorías especiales.

Los datos de categorías especiales aparecen en el artículo 9 del Reglamento y entre estos se encuentran los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, que son los que se usan en los sistemas biométricos y está prohibido el tratamiento de estos datos salvo que concurran unas circunstancias determinadas que en el mismo artículo 9 se enumeran.

¿Qué debemos entender por “datos biométricos dirigidos a identificar de manera unívoca a una persona física”? El Reglamento, en su artículo 4, da la siguiente definición: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. En la práctica estos datos son principalmente las huellas digitales, las imágenes del rostro, el iris de los ojos y la disposición de las venas de la mano.

Por otro lado, por sistemas biométricos debemos entender que son aquellas tecnologías que permiten los tratamientos de los datos biométricos mediante dispositivos o sensores que, previa la creación de unas plantillas biométricas, permiten la identificación y el perfilado de las personas (a las que se les ha realizado previamente esa plantilla).

Volviendo al cambio de criterio de la Agencia y haciendo un poco de historia, hay que aclarar que hasta la publicación por la Agencia Española de Protección de Datos en noviembre de 2023 de la “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”, su criterio, en lo que respectaba al control de presencia mediante el uso de sistemas biométricos, era que no se estaban realizando realmente tratamientos de datos biométricos, que con estas tecnologías lo que se estaban llevando a cabo eran verificaciones o autenticaciones de los rasgos de personas físicas que ya estaban identificadas y que, por tanto, no se estaban llevando a cabo en puridad tratamientos de datos biométricos.

Esta interpretación, poco rigurosa de por sí, puesto que es evidente que la recogida, registro, organización, conservación, posibilidad de consulta y de comunicación y eliminación de estos datos recogidos por un sistema biométrico son tratamientos de datos, independientemente de que sean de datos que ya han sido recolectados con anterioridad, tuvo como consecuencia que muchas empresas y otros organismos implementaran estas tecnologías con la finalidad de llevar a cabo el registro de jornada laboral previsto en el artículo 34.9 del Estatuto de los Trabajadores y registro de entrada en sus instalaciones, bien usando medios propios o bien contratando los servicios y/o las tecnologías de otras empresas.

El cambio de situación ha tenido lugar en dos fases. La primera de estas fases ocurrió cuando, en abril de 2023, el Comité Europeo de Protección de Datos publicó la actualización de sus directrices sobre el uso del reconocimiento facial, estableciendo que en estas verificaciones o autenticaciones sí se están llevando a cabo tratamientos de datos especiales.

Tras este cambio del Comité se pasó a la segunda fase, cuando la Agencia Española de Protección de Datos tuvo que revisar su criterio y aceptar también que se trataban de tratamientos de datos de categorías especiales.

Tras todo esto, quedando claro que sí se estaban llevando a cabo tratamientos de datos personales de categorías especiales, era necesario estudiar si estos tratamientos entraban en alguna de las circunstancias del artículo 9 del Reglamento General de Protección de Datos en las que se permitía que se levantara la prohibición de llevarlos a cabo, resultando evidente que de las diez circunstancias previstas, solo eran en principio aplicables dos, las excepciones consistentes en:

  1. que la empresa tuviese que cumplir con una obligación del ámbito del Derecho laboral y de la seguridad y protección social o

  2. que el trabajador diese el consentimiento expreso.

En lo que respecta al cumplimiento de una obligación legal laboral o de protección social, la Agencia Española de Protección de Datos constata que actualmente no hay en la normativa legal española ninguna norma lo suficientemente específica que justifique el uso de sistemas biométricos para las finalidades de control horario de la jornada laboral.

Además, hay que evaluar también si el uso de estas tecnologías es necesario para cumplir con la obligación de registrar la jornada laboral; a esta pregunta, la Agencia concluye que esta necesidad existe siempre que no haya otros medios igual de efectivos y que no sean tan intrusivos.

Como resultado de lo anterior, de evaluar si hay otros tratamientos menos intrusivos y de encontrar alguna norma que justifique el uso de los sistemas biométricos, queda claro que, salvo que un convenio colectivo no tenga previsto el uso de sistemas biométricos para el control de presencia y de jornada, el empleador no puede usarlos.

Pasando a la otra excepción, la consistente en que el trabajador dé su consentimiento explícito, la Agencia pone su atención en que al existir una posición entre empleador y empleado que no es de igualdad, ya que el empleado está en evidente desigualdad con su empleador, el consentimiento dado por el trabajador no puede ser considerado libre a no ser que si no se da no conlleve consecuencias desfavorables para este. De esto se deduce la conclusión de que esta segunda posible excepción muy pocas veces va a poder ser utilizada.

Así pues, independientemente de que hubiera que preparar con antelación una evaluación de impacto relativa a la protección de datos del tratamiento e incluso una consulta previa a la Agencia Española de Protección de Datos (artículos 35 y 36 del Reglamento), con el asesoramiento del delegado de protección de datos (así obliga a hacerlo el artículo 35 del Reglamento), el uso de estos sistemas biométricos va a quedar restringido a los casos en los que el convenio colectivo tenga contemplada esta posibilidad.

Este cambio de criterio de la Agencia, motivado por el cambio de criterio del Comité Europeo y de una interpretación anterior de la propia Agencia que era excesivamente laxa, ha motivado que la mayoría de las empresas no puedan seguir usando estos sistemas, con el gasto de dinero que conlleva haber implementado unos sistemas y que ahora no pueden seguir usándolos.

Bien en verdad que la Agencia no ha establecido una prohibición del uso de los sistemas, ni ha establecido un periodo de tiempo para que las empresas vayan suprimiendo estos sistemas, pero es evidente que su uso, a partir de noviembre de 2023, no está permitido y que persistir en ello puede acabar dando lugar a la imposición de sanciones.

Te interesa:

658 140 999

Llámanos

Menú