Este artículo surge con la intención de analizar a la luz de la normativa sobre protección de datos personales, los sistemas de control horario mediante sistemas biométricos como huella dactilar que en aplicación del RD Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, han comenzado a instalarse indiscriminadamente en empresas de todo el territorio nacional, algo que en caso de no ser legalmente adecuado supondría un dispendio económico para las empresas (obligadas a sustituir dichos sistemas por otros mas respetuosos con la privacidad de las personas), y un riesgo para la privacidad de los trabajadores que ven de nuevo como la Seguridad de sus datos no goza de consideración alguna, cuestión que ahonda en la erronea creencia, triste e injustamente generalizada, de que la esfera íntima de los individuos es un espacio que ya se ha perdido sin remedio

Antecedentes:

Es necesario partir de la consideración previa de que la huella dactilar, al igual que cualquier otro sistema de identificación biométrica, tiene un nivel especial de protección en la normativa de Protección de Datos, en concreto el artículo 9 del Reglamento UE/2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, más conocido por Reglamento General de Protección de Datos (en adelante RGPD), establece en relación al tratamiento de datos personales de categoría especial, como los biométricos, lo siguiente:

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3. cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

¿Qué condiciones establece el RGPD para poder aplicar la excepción que permite el tratamiento de datos biométricos como la huella dactilar por parte del empresario o empleador?

Básicamente son dos las condiciones establecidas en la letra b) del  apartado 2 del artículo 9 de RGPD: 

a) Que el tratamiento sea necesario para el cumplimiento de obligaciones o el ejercicio de derechos específicos del empleador o de la persona interesada en el ámbito del derecho laboral o de la seguridad y protección social.

b) Que lo autorice el derecho de la Unión o de los Estados miembros o un convenio colectivo, que establezca garantías adecuadas del respeto de los derechos fundamentales y los intereses de las personas afectadas.

Y el derecho nacional, ¿qué dice al respecto?

En el ordenamiento español, el artículo 20 del Texto refundido del Estatuto de los trabajadores (TE), aprobado por el Real decreto legislativo 2/2015, de 23 de octubre, prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores, pero no se refiere en ningún momento a una autorización para la utilización de categorías especiales de datos o, en concreto, de datos biométricas, con esta finalidad.

Esta autorización normativa específica es obligatoria en caso de querer implantar sistemas de control basados en datos biométricos, teniendo en cuenta la condición de categoría especial de estos datos. 

La falta de previsión expresa de una autorización en el derecho laboral, que ahora requiere el artículo 9.2.b) del RGPD hace que puedan surgir dudas respecto a la admisibilidad de este tipo de sistemas de control horario en el ámbito laboral. 

¿Qué otras instituciones han expresado opiniones doctrinales respecto a la protección de los datos biométricos?

En idéntico sentido se expresaba el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29, órgano consultivo independiente de la UE, que sobre la evolución de las tecnologías biométricas afirmaba lo siguiente en relación con el análisis del cumplimiento de este principio:

“Al analizar la proporcionalidad de un sistema biométrico propuesto, es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable.

Un segundo factor que debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar.

Un tercer aspecto a ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado”.

¿ Entoces, puedo o no puedo instalar un sistema de control horario de los trabajadores, que use la huella dactilar de los mismos?

Pues como casi siempre en la aplicacion del derecho no existe una respuesta de si o no, sino que las conclusiones dependerán del análisis conjunto y documentado de varios factores, por lo que antes de poder optar por un sistema de control horario basado en la identificación con huella digital u otro dato biométrico, será necesario realizar las siguientes operaciones con carácter previo a su instalación :

1.- Justificar porqué ese tipo de control es necesario sobre otros sistemas que no impliquen el tratamiento de categorías especiales de datos y que, por lo tanto, sean menos intrusivos en relación con el derecho a la protección de datos de las personas afectadas (código, tarjeta, etc), si esta justificación no existe, el sistema de control mediante huella no se deberá utilizar por poder resultar contrario a la Ley.

2.- Revisar que el proveedor del servicio cumple con la normativa de Protección de Datos. (artículo 28. 1 RGPD).

3.- Llevar a cabo una evaluación del impacto relativa a la protección de datos personales para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas de seguridad para mitigarlos (art. 35 RGPD).

4.- Informar con carácter previo y de forma expresa, concisa, transparente y de fácil acceso a los trabajadores acerca de esta medida. (artículos 12 y 13 del RGPD).

 Y si recojo el consentimiento expreso y por escrito del trabajador para usar su huella dactilar, ¿no sería suficiente? 

Definitivamente no, el consentimiento de los trabajadores en el ámbito laboral no es válido, y además de ser algo con mucha lógica, tiene respaldo normativo, en concreto el Considerando 43 del RGPD dice textualmente: 

"Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular..."

Y de nuevo el Grupo del Trabajo del artículo 29, en su Opinión 8/2001, del fecha 13 de septiembre, en el que analiza el tratamietno de datos personales en el entorno laboral  https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf, indica que 

"CONSENT. The Article 29 Working Party has taken the view that where as a necessary and unavoidable consequence of the employment relationship an employer has to process personal data it is misleading if it seeks to legitimise this processing through consent.
Reliance on consent should be confined to cases where the worker has a genuine free choice and is subsequently able to withdraw the consent without detriment."

o lo que es lo mismo:

"CONSENTIMIENTO. El Grupo de Trabajo del artículo 29 ha considerado que cuando como consecuencia necesaria e inevitable de la relacion laboral, un empleador tiene que tratar datos personales, es engañoso que busque legitimar el tratamiento mediante el consentimiento.

El recurso del consentimiento deberá limitarse a supuestos donde el trabajador tenga una auténtica libertad de elección y la consecuente posibilidad de abstenerse de prestar el consentimiento sin consecuencias perjudiciales."