Legitimación para tratar datos biométricos en el entorno laboral


Josep Aragonés Salvat     24/10/2019


La instalación de un sistema de control de acceso y horario basado en la recogida y el tratamiento de un patrón de la huella dactilar de los empleados comporta el tratamiento de sus datos personales, ya que la huella dactilar es un dato biométrico, y este se define como información personal obtenida a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen su identificación única, por ejemplo, imágenes faciales, del iris, huellas dactilares, etc.

Los datos biométricos son considerados categorías especiales de datos, por lo que solo puede legitimarse su tratamiento amparándose en alguna de las excepciones establecidas en el art. 9.2 GDPR. Las que se pueden aplicar a este tipo de tratamiento son:

  • 9.2 a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado.

  • 9.2 b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.


Legitimar el tratamiento amparándose en el art. 9.2 a) GDPR

Para legitimar el tratamiento de datos biométricos conforme a la excepción del art. 9.2 a), los empleados deberían prestar el consentimiento mediante una declaración o una clara acción afirmativa, que podría ser firmando una cláusula donde se la facilite toda la información del tratamiento establecida en el art. 13 GDPR. Se debe tener en cuenta que los interesados pueden oponerse al tratamiento en el momento que se facilite la información y se solicite el consentimiento, o posteriormente en cualquier momento. Por lo que, si nos basamos en esta legitimación, al no estar obligados, no aseguraremos que todo el personal facilite sus datos biométricos.

No obstante, en el ámbito laboral, la legitimación del tratamiento a través del consentimiento del trabajador no es lo recomendable, y es que, con carácter general, en el marco de las relaciones laborales existe una situación de desequilibrio de poder entre el empleado y el empleador, y son contadas y escasas las ocasiones en las que los trabajadores pueden prestar su consentimiento de forma libre, tal y como exige el GDPR. Por eso, por lo difícil que puede resultar decirle al jefe que no, la base de legitimación de este tratamiento de datos debería ampararse en la obligación legal del responsable (art. 6.1.c GDPR), tal como exponemos a continuación.


Legitimar el tratamiento amparándose en el art. 9.2 b) GDPR

Para legitimar el tratamiento de datos biométricos conforme a la excepción del art. 9.2 b), el tratamiento podrá amparase en la obligación legal del responsable (art. 6.1.c), del empleador del art. 6.1.f) GDPR, basado en el art. 20.3 del Estatuto de los Trabajadores conforme al cual, el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos.
Este tipo de tratamiento puede entrañar un alto riesgo para los derechos y libertades de los interesados y por este motivo se deben tener en cuenta dos posibilidades para realizar el tratamiento:


1. Tratamiento de datos biométricos llevado a cabo por el responsable

En este caso, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo, teniendo en cuenta las implicaciones del uso de nuevas tecnologías, la observación sistemática de los hábitos de los trabajadores y el tratamiento de datos de una categoría especial (biométricos), sería preciso llevar a cabo una evaluación del impacto relativa a la protección de datos (DPIA) para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos (art. 35 GDPR).

A la vista de las consideraciones descritas, entenderemos como adecuado a la normativa en materia de protección de datos, el tratamiento de los datos biométricos de los trabajadores con la finalidad de control de acceso a su puesto de trabajo siempre que se realice una DPIA.


2. Tratamiento de datos biométricos llevado a cabo directamente por el interesado

En relación con la especial naturaleza que el GDPR confiere a los datos biométricos y la exigencia de una especial atención no sólo a la proporcionalidad, sino a la propia minimización del dato; es decir, que sólo sea objeto de tratamiento en tanto éste resulte completamente imprescindible para el cumplimiento de la finalidad perseguida, se podría usar un sistema donde el dato biométrico permaneciese bajo el control del trabajador y no del responsable, de manera que el sistema solo incorporase el registro horario junto la identificación del trabajador, que estaría certificada por el sistema propio del dispositivo del interesado, por ejemplo, usando la huella dactilar en su teléfono móvil, tal como se usa en ocasiones para acceder a las app de entidades financieras.

En este sentido, la AEPD, tanto en el Informe 0065/2015, como en diversas consultas que se le han planteado al respecto, pone de manifesto lo siguiente:


El objetivo podría lograrse si se estableciese un sistema de control del acceso que, sin perjuicio de aplicar medidas de control biométrico, permitiera que el propio dato biométrico, la huella dactilar, permaneciese bajo el control del interesado (en este caso el trabajador) y no fuera incorporado al sistema. De este modo, sería posible que la verificación se llevase a cabo a partir de un dispositivo que portase el empleado, de forma que el sistema únicamente almacenase la información referida a la entrada o salida del centro de trabajo, sin que en ningún momento reflejase el algoritmo de la huella.

Así, el sistema únicamente almacenaría la información identificativa del empleado y en ningún caso incluiría la relacionada con el algoritmo de la huella dactilar, lo que minimizaría la injerencia de la medida adoptada sin por ello perjudicar el resultado que la misma pretende.


Información del tratamiento al interesado

En grandes empresas, lo recomendable es comunicar previamente al Comité de empresa o al Representante de los trabajadores, según sea el caso, de la puesta en marcha del sistema a utilizar, informándoles de las ventajas e inconvenientes del mismo y haciéndoles partícipes de la conveniencia de su uso.

En cualquier caso, sería necesario informar a los trabajadores mediante una circular, con los detalles del tratamiento establecidos en el art. 13 GDPR, por los medios habituales de comunicación, para poder demostrar que se ha informado debidamente el tratamiento. Además, si se utilizan sistemas automatizados para tratar estos tipos de datos, se recomienda añadir a la información obligatoria, los detalles y la lógica del procedimiento, como:

  • Obligación de facilitar los datos biométricos: consecuencias de negarse a facilitarlos.
  • Medios de tratamiento: dispositivos utilizados para realizar el control.
  • Operativa: periodos de funcionamiento.
  • Funcionamiento: descripción generalizada del sistema y momentos en los que el trabajador debe realizar el control.
  • Incumplimiento: consecuencias de no registrar los controles.


Conclusiones

Atendiendo lo dispuesto en el Dictamen CNS 63/2018 de la Autoridad Catalana de Protección de Datos, trasladamos las siguientes conclusiones:


La inclusión de los datos biométricos, entre ellos los de la huella dactilar, entre las categorías especiales de datos previstas por el GDPR no permite concluir de manera automática que la implantación de un sistema de control horario basado en la recogida de este tipo de datos pueda considerarse proporcionada y, por lo tanto, conforme con el principio de minimización. Hay que hacer una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en las que se lleve a cabo el tratamiento para determinar su legitimidad y proporcionalidad, incluido el análisis de la existencia de alternativas menos intrusivas, y establecer las garantías adecuadas.

En el caso del control de acceso a dependencias o zonas que requieran unas condiciones de seguridad reforzadas, el uso de este tipo de sistemas puede resultar justificado en determinados casos, si bien también resulta necesario llevar a cabo con carácter previo la evaluación del impacto en la protección de datos.


Documentos relacionados

Informe AEPD 0065/2015:
https://www.aepd.es/media/informes-historicos/2015-0065_Control-de-acceso-al-comedor-por-huella-digital.pdf
Dictamen APDCAT CNS 63/2018:
https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2018/Documents/es_cns_2018_063.pdf