El pasado 23 de noviembre la Agencia Española de Protección de Datos (AEPD) lanzó la nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos.

La guía fija los criterios de uso de datos biométricos como la huella, el iris, el rostro o la palma de la mano, entre otros, tanto con fines laborales como no laborales. El problema es que la guía implica el cambio de criterio definitivo de la AEPD en relación con el uso de datos biométricos en sistemas de control de presencia.

Hasta ahora la AEPD consideraba que un dato biométrico como la huella solamente tenía la consideración de dato especialmente protegido (es decir, de categoría especial) cuando se utilizaba en procesos de identificación de “Uno contra muchos”. Ahora bien, entendía que en los casos de autenticación/verificación de la identidad realizados “Uno contra uno”, el dato no era biométrico.

De ese modo, como en esos casos el dato no era considerado de categoría especial, la guía de la AEPD de mayo 2021 sobre “La Protección de Datos en las Relaciones Laborales” señalaba que el art. 20.3 del Estatuto de los Trabajadores (ET) permitía al empresario adoptar las medidas que estimara más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes. Todo ello sin olvidar el art. 34.9 ET, que obliga al empresario a garantizar el registro diario de jornada.

Sin embargo, ahora la AEPD cambia de criterio (en realidad vuelve a la senda del Comité Europeo de Protección de Datos) y considera que en ambos casos el dato biométrico debe considerarse como dato de categoría especial, ya sea un proceso de identificación (“Uno contra muchos”) o de autenticación/verificación (“Uno contra uno”).

¿Qué significa eso en términos básicos? Que como tratar datos de categoría especial está prohibido por defecto, ya no me basta una base legal estándar (art. 6 RGPD), ahora necesito que esa huella o rostro se utilicen en casos especiales y tasados por la normativa (art. 9.2 RGPD). Por tanto, paso de necesitar un requisito a requerir dos, y el segundo es muy estricto en la práctica.

Las empresas que usen la huella o el rostro para fichar tendrían dos posibles vías, aunque ninguna es muy ideal en verdad.

Por un lado el art. 9.2 RGPD en su letra A), consistente en que el empleado lo consiente de forma explícita. Sin embargo, ese consentimiento debe ser libre. ¿Cómo conseguimos eso? Ofreciendo al trabajador/empleado público que no quiere consentir el tratamiento de sus datos biométricos una alternativa real que no necesite de ellos.

Entonces, si tengo esa alternativa, ¿dónde está el problema?

Pues que en la nueva guía la AEPD dice que como esa alternativa real implica que el control de presencia se puede llevar a cabo sin necesidad de utilizar datos biométricos, el tratamiento de esos datos no es necesario. Y como la normativa sobre protección de datos nos dice que debemos tratar los datos imprescindibles, ¿para qué usar huellas, rostros o iris si tengo alternativas menos invasivas y que requieren menos datos?

Aunque la Agencia Catalana, la británica o el Consejo de transparencia y protección de datos de Andalucía han abierto ciertas puertas al uso del consentimiento en este caso, la realidad es que con la nueva guía el consentimiento, incluso existiendo vía alternativa, tiene muy pocas opciones de servirnos para autorizar el uso de datos biométricos.

Por otro lado, está la opción del art. 9.2, letra B) RGPD, según la cual el tratamiento debe ser: 1) necesario; y 2) venir autorizado por el Derecho de la Unión de los estados miembros o por un convenio colectivo con arreglo al Derecho de los estados miembros y con las garantías adecuadas.

La realidad es que el ordenamiento jurídico español no cuenta con una norma con rango de ley que concrete la posibilidad de utilizar, y además de forma necesaria, datos biométricos para las finalidades de control de acceso como medida de control laboral y/o para registro de jornada. Ni en el ámbito público o privado. Por tanto, ahí ya tenemos un primer serio problema.

La autorización vía convenio colectivo sería una opción si la empresa lo tiene, el sector lo contempla y presenta las garantías adecuadas.

Pero ya sea mediante norma o convenio, la necesidad sigue siendo un requisito, como hemos visto antes, ya que si existe una alternativa real la necesidad de biometría decae automáticamente con base en el principio de minimización y privacidad desde el diseño, entre otros.

Entonces, ¿si mi empresa utiliza la huella o el rostro para el registro de jornada laboral la mejor opción es buscar una alternativa? Ahora mismo sí ya que la nueva guía de la AEPD reduce al mínimo las opciones de usar biometría (a menos que la evaluación de impacto pueda argumentar la necesidad, proporcionalidad e idoneidad real) y seguir usando datos biométricos sería un serio riesgo legal.

¿Y si no puedo buscar alternativa, qué hago?

- Podría plantearse la necesidad real de datos biométricos para el caso concreto (muy complejo, pero no imposible).

- El Consejo Español para el Registro de Jornada ha planteado como alternativa el interés público (cuestionable pero quién sabe ya...).

- Se podría intentar recurrir a la minimización extrema e incorporar al juicio de necesidad la opinión de los interesados respecto al tratamiento para ampliar las finalidades del mismo (opción compleja pero en parte contemplada por el RGPD).

En resumen, el uso de datos biométricos como la huella, el rostro o el iris en términos generales se ha vuelto muchísimo más compleja. En el ámbito laboral casi se cierra la puerta por completo, siendo recomendable pensar en otras vías. Si no es posible, hay algunos resquicios abiertos, pero no son sencillos.

Todo ello sin olvidar que las guías no son normativa y en un caso extremo podría cuestionarse su interpretación ante los tribunales.

Nos espera un 2024 movido en esta materia.

¡Feliz año!

Si necesitas ayuda legal con alguna de las cuestiones comentadas, puedes encontrarnos aquí.