Este artículo surge con la intención de analizar a la luz de la normativa sobre protección de datos personales, los sistemas de control horario mediante sistemas biométricos como huella dactilar que en aplicación del RD Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, han comenzado a instalarse indiscriminadamente en empresas de todo el territorio nacional, algo que en caso de no ser legalmente adecuado supondría un dispendio económico para las empresas (obligadas a sustituir dichos sistemas por otros más respetuosos con la privacidad de las personas), y un riesgo para la privacidad de los trabajadores que ven de nuevo como la Seguridad de sus datos no goza de consideración alguna, cuestión que ahonda en la erronea creencia, triste e injustamente generalizada, de que la esfera íntima de los individuos es un espacio que ya se ha perdido sin remedio.
Antecedentes
Es necesario partir de la consideración previa de que la huella dactilar, al igual que cualquier otro sistema de identificación biométrica tiene un nivel especial de protección en la normativa de Protección de Datos, en concreto el artículo 9 del Reglamento UE/2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, más conocido por Reglamento General de Protección de Datos (en adelante RGPD), establece en relación al tratamiento de datos personales de categoría especial, como los biométricos, lo siguiente:
1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
Por lo tanto, para poder aplicar la excepción contenida en la letra b del apartado 2 del artículo 9 del RGPD, será necesaria la concurrencia de dos condiciones:
a) Que el tratamiento sea necesario para el cumplimiento de obligaciones o el ejercicio de derechos específicos del empleador o de la persona interesada en el ámbito del derecho laboral o de la seguridad y protección social.
b) Que lo autorice el derecho de la Unión o de los Estados miembros o un convenio
colectivo, que establezca garantías adecuadas del respeto de los derechos fundamentales y los intereses de las personas afectadas.
En el ordenamiento español, el artículo 20 del Texto refundido del Estatuto de los trabajadores (TE), aprobado por el Real decreto legislativo 2/2015, de 23 de octubre, prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores, pero no se refiere en ningún momento a una autorización para la utilización de categorías especiales de datos o, en concreto, de datos biométricas, con esta finalidad.
Esta autorización para implantar sistemas de control sería aún más necesaria en el caso de sistemas basados en datos biométricos, teniendo en cuenta la condición de categoría especial de estos datos.
La falta de previsión expresa de una autorización en el derecho laboral, que ahora requiere el artículo 9.2.b) del RGPD hace que puedan surgir dudas respecto a la admisibilidad de este tipo de sistemas de control horario en el ámbito laboral.
En idéntico sentido se expresaba el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29, sobre la evolución de las tecnologías biométricas afirmaba lo siguiente en relación con el análisis del cumplimiento de este principio:
“Al analizar la proporcionalidad de un sistema biométrico propuesto, es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable.
Un segundo factor que debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características
específicas de la tecnología biométrica que se va a utilizar.
Un tercer aspecto a ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado”.
Conclusiones
Antes de poder optar por un sistema de control horario basado en la identificación con huella digital u otro dato biométrico, será necesario realizar las siguiente operaciones con carácter previo a su instalación:
1.- Justificar porqué ese tipo de control es necesario sobre otros sistemas que no impliquen el tratamiento de categorías especiales de datos y que, por lo tanto, sean menos intrusivos en relación con el derecho a la protección de datos de las personas afectadas (código, tarjeta, etc), si esta justificación no existe, el sistema de control mediante huella no se deberá utilizar por poder resultar contrario a la Ley.
2.- Revisar que el proveedor del servicio cumple con la normativa de Protección de Datos. (artículo 28. 1 RGPD)
3.- Llevar a cabo una evaluación del impacto relativa a la protección de datos de carácter personal para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas de seguridad para mitigarlos (art. 35 RGPD).
4. Informar con carácter previo y de forma expresa, concisa, transparente y de fácil acceso a los trabajadores acerca de esta medida. (artículos 12 y 13 del RGPD).