BIOMETRIA en el registro de jornada laboral.

¿Debo dejar de utilizar la biometría en el control de presencia de los trabajadores?

Importantes novedades acerca del uso de la biometría en el registro de la jornada laboral obligan a las empresas a actuar a la mayor brevedad. Se impone su prohibición de forma predeterminada.

La Agencia Española de Protección de Datos (AEPD) publicó el pasado 23 de noviembre una guía sobre la utilización de la BIOMETRIA para el control de accesos, de presencia y registro de la jornada laboral.

Este documento fija nuevos criterios para la utilización de técnicas biométricas tanto con fines laborales como no laborales, estableciendo las medidas a tener en cuenta para cumplir con el Reglamento General de Protección de Datos (RGPD).

De este modo la AEPD rectifica el criterio que venía manteniendo hasta la fecha. En adelante esta autoridad considera que el tratamiento de datos biométricos, tanto para identificación como para autenticación, supone un tratamiento de alto riesgo que incluye categorías especiales de datos, cuyo tratamiento y uso está prohibido de forma predeterminada.

Ello que implica que solo podrán tratarse si existe una circunstancia que levante esta prohibición y una condición legitimadora, para satisfacer lo preceptuado en el RGPD.

La AEPD se suma así al criterio anteriormente fijado por la Comisión Europea de Protección de Datos y otras autoridades de control autonómicas, como la catalana y la andaluza, publicando la NUEVA GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS <<< descargar aquí.

Los sistemas biométricos y el tratamiento de datos que se pueden obtener a partir de estos evolucionan muy rápido, a lo que se suma el desarrollo el desarrollo de nuevas tecnologías, como la inteligencia artificial, que pueden utilizarse para aumentar el detalle de la información recogida e incluso reducir la cooperación de la persona pudiendo incluso tomar decisiones automatizadas sobre las personas.

¿Cuál es el problema? ¿Qué condiciones existen? ¿Qué margen o plazo existe?

El problema fundamental es el cambio de criterio de la AEPD que ahora recoge cuerda revisando el criterio que mantenía en cuanto a las diferencias entre “identificación” y “autenticación”, por los que en el ámbito laboral validaba que los sistemas biométricos limitados a verificar los rasgos de un trabajador no se consideraba alto riesgo o uso de datos especiales.

Tratamiento excesivo

El control de presencia tiene una finalidad concreta: registrar la jornada y controlar el acceso. Cumpliendo siempre el RGPD, lo que supone tratar los datos adecuados, pertinentes y limitados a los necesario para dicha finalidad (principio de minimización).

La finalidad del control de presencia, no es recoger datos biométricos, por lo que estaríamos recogiendo datos excesivos y vulnerando el principio de minimización. El uso de los datos biométricos supondría un tratamiento adicional que requeriría justificar su necesidad, idoneidad y proporcionalidad, de lo contrario resultará excesivo.

Tanto en el supuesto de tratamiento de datos biométricos para el registro de la jornada laboral, como para otros fines, como control de acceso, deberán prevalecer aquellas alternativas que impliquen menor riesgo para los derechos y libertades de las personas afectadas. La propia AEPD propone alternativas al tratamiento de datos biométricos.

Legitimación

Para tratar datos de categoría especial, como ahora lo son siempre los biométricos, será necesario que exista una circunstancia para levantar la prohibición y una condición que legitime el tratamiento.

En las empresas donde se emplean sistemas biométricos de registro de la jornada, es común justificar los requisitos del párrafo anterior basándose en el consentimiento del trabajador así como en la necesidad de cumplir las obligaciones laborales del empleador (Art. 10. Real Decreto-Ley 8/2019) o el interés legítimo (Art. 20.3. Estatuto de los Trabajadores).

Pero si basamos el levantamiento de la prohibición en las normas que obligan al empleador a registrar la jornada y controlar la presencia, no encontraremos ninguna justificación que permita utilizar los datos biométricos con este fin, porque esto no lo contempla la normativa legal española (ha sobrevenido un vacío legal).

Dicho de otro modo: el fin de un tratamiento de control de presencia no es tratar datos biométricos, sino registrar la jornada y controlar el acceso, usando los datos adecuados, pertinentes y limitados a lo necesario (principio de minimización). No se contempla ninguna obligación en la normativa laboral que especifique los medios y/o técnicas a emplear.

De hecho, en la propia Guía del Ministerio de Trabajo sobre el registro de la jornada laboral sugiere la autorregulación sin concretar medios para llevar a cabo este control, y en todo caso, respetando la protección de datos personales y garantía de derechos digitales.

Por otra parte, basar el tratamiento de datos biométricos únicamente en el consentimiento informado del trabajador es insuficiente y tampoco puede levantar esta prohibición o ser una base legitimadora por sí sola, al existir un desequilibrio entre la persona sometida al tratamiento (trabajador) y la quien lo lleva a cabo (empresa). Dicho de otro modo: el consentimiento podría no ser libre y no serviría.

Medidas y garantías para el tratamiento de datos biométricos

Con las nuevas circunstancias e instrucciones de la autoridad es muy poco probable que se den las condiciones suficientes para poder implementar la biometría para control de presencia.

Si existieran condiciones suficientes y garantías que levanten las prohibiciones descritas y se superen los requisitos necesarios en la implementación de un sistema biométrico para el registro de la jornada, se deberá cumplir con una amplia serie de garantías y medidas organizativas, técnicas y jurídicas, al menos las siguientes:

• Informar a los trabajadores sobre el tratamiento biométrico y los riesgos asociados.
• Permitir la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
• Asegurar medios técnicos para impedir el uso de las plantillas biométricas para cualquier otro propósito.
• Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de los datos biométricos.
• Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
• Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
• Implementar la protección de datos desde el diseño.
• Aplicar la minimización de los datos biométricos recogidos.
• Recoger todas las garantías y derechos con relación al tratamiento de datos biométricos en los convenios colectivos.
• Gestión del riesgo, analizando todas las fases del proceso: identificación, análisis, evaluación y tratamiento del riesgo. Encontrando al menos las siguientes recomendaciones:
  • Utilización de tecnologías biométricas basadas en dispositivos bajo control exclusivo de los usuarios.
  • Toma de datos de forma consciente por el individuo, implicando una acción positiva para iniciar el procesamiento de los datos biométricos.
  • Evitar en lo posible el almacenamiento centralizado de las plantillas biométricas.
  • Existencia de mecanismos automatizados de supresión de datos.
  • Existencia de procedimientos de gestión de posibles incidentes o brechas de seguridad.
• Revisión continuada y actualización de las acciones y medidas cuando sea necesario.

En cualquier caso, hay que cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, valorando usar medidas alternativas equivalentes, menos intrusivas y que traten los menos datos adicionales posibles. Atendiendo a las regulaciones que afecten a las decisiones automatizadas, especialmente si no existe intervención humana, y las normas reguladoras de aplicación de la inteligencia artificial (IA).

Plazos y márgenes de aplicación

A diferencia de lo ocurrido en anteriores instrucciones y regulaciones, en esta ocasión no se ha establecido un plazo de adaptación. Desde ahora, estamos asumiendo el riesgo de ser sancionados sin contravenimos lo aquí expuesto usando la biometría como técnica de registro de la jornada.

CONCLUSIONES Y RECOMENDACIONES

Esta nueva Guía y criterios fijados por la AEPD advierten del alto riesgo que conlleva el uso de la biometría desde el prisma de la privacidad.

Con la reciente confirmación de que los datos biométricos son, en todo caso, datos de categoría especial, supone que su uso, de forma predeterminada, esté prohibido.

Resulta prácticamente imposible superar los requisitos establecidos para justificar la NECESIDAD, la IDONEIDAD y la demostración de que su adopción genera más BENEFICIO que inconvenientes, aún contando con las salvedades especificadas en el RGPD (consentimiento del trabajador, obligaciones o controles del ámbito laboral), que ya no se sostienen por efecto de la nueva interpretación de la AEPD.

Para la autoridad , ahora la lógica final que debemos aplicar es así: si existen alternativas menos intrusivas (tarjetas inteligentes, certificados digitales, libro de registro, etc.) que permitan controlar el horario, deberá optarse por estas, no siendo válido ampararse en los posibles fraudes de registro, en cuyo caso se aboga por la intervención humana para prevenirlos o interrumpir las acciones fraudulentas o malintencionadas, sin importar su coste.

La propia AEPD relata en su su Guía cómo empresas con 30.000 empleados controlaban la entrada y salida de sus trabajadores sin necesidad de biometría, así que “pone el listón bien alto” y con todo hace muy difícil demostrar haber superado el juicio de proporcionalidad necesario.

La solución está ahora mismo lejana para la mayor parte de entornos empresariales: o se modifica el marco jurídico, vía reforma legal o vía convenios colectivos, o el fichaje con huella dactilar, reconocimiento facial, etc., no es legal, con el riesgo inherente de que no hay plazo de gracia y las sanciones de protección de datos pueden ser elevadas.

Salvo en contados casos en los que pueda demostrarse la imperiosa necesidad de la empresa, la utilización de la biometría debe descartarse, y aún en estos limitados casos, justificar la necesidad es algo extraordinariamente complejo.

RECOMENDACION FINAL:

A la vista de toda la información recopilada y analizada, si en tu empresa su usa la biometría en el registro de la jornada de los trabajadores, desde Auditta RECOMENDAMOS DETENER su uso, buscando opciones alternativas como pueden ser:

• PIN o contraseña individuales por cada trabajador.
• Tarjetas RFID para cada trabajador.
• Sistema NFC utilizando el teléfono móvil de cada trabajador.
• Aplicaciones móviles con geolocalización.
• Etc.

Si ya tienes instalado el sistema biométrico consulta a tu proveedor a ver si puede reutilizarse con alguna solución de las anteriores. En todo caso se recomienda consensuar cualquier acción al respecto con el servicio de asesoría laboral o departamento de recursos humanos.

Si estás valorando implementar un sistema de control de presencia biométrico, no debería ser tu principal elección por ahora, valora otras opciones que no impliquen datos biométricos.

Si tratamos de justificar la necesidad imperiosa de utilizar esta tecnología, nos encontramos con una interpretación que lo hace extremadamente difícil, a la luz del contenido de la Guía de la AEPD

La AEPD en España había mantenido una posición “más favorable” hasta ahora que las autoridades de otros países de la UE. No obstante, no es la primera vez que este tipo de situaciones vuelven a dar un giro, estaremos atentos a las próxima opiniones de la Comisión Europea.

Créditos: Imagen de victor217 en Freepik; Imagen de Freepik