En este artículo vamos a tratar...
¿Sabes cómo afecta la nueva guía de la AEPD sobre tratamientos biométricos en el ámbito laboral a tu empresa?
En este artículo te explicamos los principales cambios que introduce esta guía. Estas modificaciones suponen un giro radical en la interpretación de la AEPD sobre el uso de datos biométricos para el control de presencia y los tratamientos biométricos en el ámbito laboral. Además, te damos algunos consejos para adaptarte a esta nueva normativa y evitar sanciones. ¡Sigue leyendo y descubre todo lo que necesitas saber!
Introducción a la nueva guía de la AEPD sobre tratamientos biométricos en el ámbito laboral.
La Agencia Española de Protección de Datos (AEPD) ha lanzado la esperada “Guía sobre Tratamientos de Control de Presencia mediante Sistemas Biométricos”, marcando un cambio importante en cómo la AEPD interpretaba el uso de datos biométricos en el entorno laboral. Este cambio presenta desafíos significativos para las empresas que actualmente utilizan esta tecnología.
¿Qué son los datos biométricos y cómo se regulan en España?
Los datos biométricos son aquellos que permiten identificar a una persona de forma única (unívoca) mediante rasgos físicos, fisiológicos, genéticos o conductuales. Algunos ejemplos son las huellas dactilares, el iris, el rostro, la voz o la firma. Estos datos se consideran de categoría especial, según el Reglamento General de Protección de Datos (RGPD), y están sujetos a una protección reforzada. En España, la Agencia Española de Protección de Datos (AEPD) es el organismo encargado de velar por el cumplimiento de la normativa sobre protección de datos y de sancionar las infracciones.
La evolución de la normativa sobre tratamientos biométricos en el ámbito laboral
El uso de datos biométricos para el control de presencia de los empleados ha sido objeto de debate y controversia en los últimos años. La AEPD ha ido modificando su criterio al respecto, siguiendo las directrices de los organismos europeos y adaptándose a las nuevas tecnologías.
A continuación, repasamos los hitos más importantes de esta evolución normativa:
-
En 2012:
El Grupo de Trabajo del Artículo 29:formado por las autoridades de protección de datos de la Unión Europea, emitió el Dictamen 3/2012 . En este dictamen se establecía que el uso de datos biométricos para el control de presencia solo era posible si se cumplían ciertos requisitos, como la proporcionalidad, la minimización, la seguridad y la información. Además, diferenciaba entre dos tipos de tratamientos biométricos: la autenticación y la identificación. La autenticación consiste en verificar que una persona es quien dice ser, comparando su dato biométrico con el que previamente ha registrado. La identificación consiste en determinar la identidad de una persona, comparando su dato biométrico con una base de datos. El Dictamen consideraba que la autenticación era menos intrusiva que la identificación y que, por tanto, podía estar más justificada en el ámbito laboral.
-
En 2020:
La AEPD publicó el Informe Jurídico 036/2020. En este informe que se basaba en el Dictamen 3/2012 para analizar la legalidad del uso de datos biométricos para el control de presencia. La AEPD concluía que este uso solo era posible si se cumplían las condiciones del artículo 9.2.b del RGPD, es decir, si era necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del derecho laboral. Además, la AEPD señalaba que el uso de datos biométricos debía ser proporcionado, es decir, que no existieran otras medidas menos invasivas para el control de presencia. Asimismo, la AEPD indicaba que el uso de datos biométricos debía ser informado, es decir, que los empleados debían conocer los detalles del tratamiento y sus derechos al respecto.
-
En 2021:
La AEPD publicó la guía “La Protección de Datos en las Relaciones Laborales”. En esta guía abordaban diversos aspectos relacionados con el tratamiento de datos en el ámbito laboral, entre ellos, el uso de datos biométricos para el control de presencia. La AEPD mantenía el criterio del Informe Jurídico 036/2020, pero añadía algunas precisiones y recomendaciones. Por ejemplo, la AEPD aclaraba que el uso de datos biométricos debía estar basado en una norma legal que lo autorizara o en el consentimiento expreso de los empleados. Además, la AEPD advertía que el uso de datos biométricos debía ser seguro, es decir, que debían adoptarse medidas técnicas y organizativas para evitar el acceso no autorizado, la pérdida o el daño de los datos. Por último, la AEPD sugería que el uso de datos biométricos debía realizar una evaluación de impacto sobre la protección de datos y un registro de actividades de tratamiento.
Despidiéndose del Registro de Huellas: Cambios en la Legalidad del Control Biométrico
Puede ver un resumen del post en el siguiente vídeo:
La guía de la AEPD establece que los datos biométricos utilizados para identificación o autenticación se consideran de categoría especial. Este tipo de datos se ven sujetos a condiciones más rigurosas que los datos personales ordinarios. Para el control laboral, la guía clasifica el uso de datos biométricos para el registro de presencia de los empleados como identificación, exigiendo así una justificación legal sólida para las empresas que deseen implementar estos sistemas.
De la Autenticación a la Identificación: Una Distinción que ya no Importa
En el pasado, la AEPD diferenciaba entre autenticación e identificación al evaluar el uso de datos biométricos. La guía ahora desecha esta distinción, subrayando que cualquier proceso que requiera identificación clasifica los datos biométricos como de categoría especial. Esta interpretación sigue la definición del RGPD, que establece los datos biométricos como aquellos que permiten la identificación única de una persona.
Aclaración de la Guía: Identificación, Autenticación y Fotografías
La guía recalca que identificar a una persona significa determinar su identidad, directa o indirectamente, a través de elementos propios de la identidad física, fisiológica, genética o psíquica. Un tratamiento que permite singularizar a una persona mediante un análisis biométrico conductual se considera un tratamiento de identificación.
El considerando 51 del RGPD aborda la distinción entre el tratamiento de fotografías y el tratamiento de datos biométricos. Aclara que el tratamiento de fotografías no debe ser automáticamente considerado como tratamiento de categorías especiales de datos personales. Sin embargo, señala que el contenido de la fotografía o un tratamiento adicional podría convertirlo en un tratamiento de categorías especiales de datos.
Excepciones y Alternativas: Explorando el Consentimiento en el Registro de Jornada
En el intrincado terreno del registro de jornada, donde el interesado se ve obligado a cumplir con esta diligencia, la posibilidad de considerar un consentimiento libre para un tratamiento adicional de datos, especialmente biométricos, entra en juego. La guía, al abordar este escenario, plantea condiciones específicas. Para que el consentimiento sea genuinamente libre, se requiere que el interesado tenga una alternativa de elección real para cumplir con la obligación del registro de jornada y, como se detallará más adelante, no se cumpliría con el principio de proporcionalidad. Por lo tanto, el consentimiento no sería una base legal válida para el tratamiento de datos biométricos en el registro de jornada. En estos casos, la guía recomienda buscar otras soluciones que garanticen el cumplimiento de la normativa laboral y de protección de datos, como el uso de tarjetas, claves o códigos de barras.
El Principio de Proporcionalidad: Evaluando la Necesidad y la Idoneidad de los Tratamientos Biométricos en el ámbito laboral
El principio de proporcionalidad implica que el tratamiento de datos personales debe ser adecuado, pertinente y limitado a lo necesario para los fines para los que se realizan. En el caso de los datos biométricos, este principio exige que se evalúe si el tratamiento es necesario para el control laboral y si existen otras alternativas menos intrusivas que puedan cumplir el mismo objetivo. Por ejemplo, el uso de huellas dactilares para el registro de jornada podría no ser proporcional si el trabajador realiza su actividad fuera del centro de trabajo o si el sistema no garantiza la seguridad y la confidencialidad de los datos.
Siguiendo estas pautas, las Directrices señalan que el responsable del tratamiento puede alegar que ofrece a los interesados una elección real si pueden optar entre un servicio que incluye el consentimiento para el uso adicional de datos personales y un servicio equivalente que no implica dicho consentimiento. La clave aquí radica en que ambos servicios deben ser realmente equivalentes. La guía establece que la posibilidad de que el responsable del tratamiento ejecute el contrato o preste los servicios sin el consentimiento para el otro uso o uso adicional implica que ya no hay condicionalidad en el servicio.
Sin embargo, este escenario de equivalencia plantea condiciones adicionales. Cuando existen opciones verdaderamente equivalentes y disponibles para todos los trabajadores, se podría evaluar la validez del consentimiento, cumpliendo con los requisitos del artículo 4.11 del RGPD y las demás condiciones del artículo 7 del RGPD.
No obstante, la guía establece un matiz crucial en relación con la “equivalencia de los tratamientos”.
Si existen alternativas disponibles al tratamiento de datos biométricos que presentan un menor riesgo para los derechos y libertades de las personas cuyos datos se van a tratar, y permiten que, en cualquier momento, los trabajadores opten por esas alternativas, el procesamiento de datos biométricos deja de ser necesario para la implementación del tratamiento.
Al no ser necesario el tratamiento de datos biométricos, se rompe la premisa del artículo 5.1.c del RGPD, y, al considerarse un tratamiento de alto riesgo, no se cumpliría con el requisito de “necesidad” establecido en los artículos 5.1 y 35.7.b. En el caso de tratamientos de alto riesgo, además de ser necesario, se requiere demostrar la evaluación positiva de necesidad, un requisito que, en este contexto, no se cumpliría debido a la falta de necesidad.
Navegando los Desafíos Normativos: Entre el Laberinto Legal y las Consultas Previas
A pesar de los esfuerzos por superar los desafíos anteriores, nuevos laberintos se perfilan en el horizonte. La guía de la AEPD resalta la imperativa necesidad de consultar a la AEPD si el responsable no ha implementado medidas
, conforme al artículo 36 del RGPD.
Es vital comprender que la gestión del riesgo no es una solución universal. No garantiza el levantamiento de la prohibición sobre datos especiales, ni cumple con las condiciones legales, ni respeta los principios fundamentales del RGPD. La AEPD ha proporcionado orientaciones específicas sobre cómo abordar esto, delineando la ejecución y superación de una Evaluación de Impacto en la Protección de Datos (EIPD), su documentación y cómo llevar a cabo la consulta previa.
Estas orientaciones abarcan una lista de verificación para evaluar la idoneidad formal de una EIPD, modelos de informes para sectores público y privado, guías sobre privacidad y protección de datos, así como requisitos para auditorías que involucren Inteligencia Artificial. En resumen, la complejidad se intensifica, y la navegación por este laberinto legal se torna aún más desafiante. En el marco del RGPD, donde el artículo 35.7.b impone la necesidad de superar un triple juicio de idoneidad, necesidad y proporcionalidad estricta al enfrentarse a tratamientos de alto riesgo, este proceso se convierte en un pilar esencial para garantizar la conformidad con los exigentes estándares de protección de datos.
La Única Ruta Posible: La Negociación Colectiva
En este laberinto legal, la única opción aparente para las empresas que deseen implementar sistemas biométricos es la negociación en un convenio colectivo. Esta ruta, aunque llena de desafíos, requerirá garantías específicas para proteger los derechos de los empleados.
Consentimiento en el Registro de Jornada y Control de Acceso
La guía proporciona claridad en el tratamiento de registro de jornada y control de acceso con fines laborales. Por lo tanto, el empleado debe participar en el tratamiento para el registro de jornada, no en el tratamiento de datos biométricos en sí. El consentimiento no se aplica al tratamiento de registro de jornada en sí, donde no cabe oponerse, sino al tratamiento adicional de datos biométricos.
El considerando 43 del RGPD establece condiciones para garantizar que el consentimiento se otorgue libremente. Es especialmente importante esta libertad en situaciones de desequilibrio claro entre el interesado y el responsable del tratamiento, como en relaciones laborales. Las Directrices 5/2020 del CEPD confirman que en el contexto laboral, existe un desequilibrio de poder entre empleador y empleado. Este desequilibrio hace que el consentimiento no se proporcione libremente. El consentimiento no puede, en ningún caso, levantar la prohibición de tratar categorías especiales de datos.
Ejemplos Prácticos y Desafíos Empresariales:
Para ilustrar estos conceptos, consideremos un escenario en el que una empresa desea implementar un sistema biométrico para el registro de la jornada laboral. Antes de estas directrices, la empresa podría haber confiado en el consentimiento de los empleados para justificar el uso de datos biométricos.
Sin embargo, con la nueva guía, este enfoque se vuelve más complicado. La AEPD argumenta que el desequilibrio de poder entre empleador y empleado hace que el consentimiento no sea una base jurídica sólida. Un empleado podría sentirse presionado a dar su consentimiento, creando un escenario donde el consentimiento no se otorga libremente.
Además, la guía señala que incluso si se obtiene el consentimiento, el tratamiento de datos biométricos debe cumplir con los principios de protección de datos, como la minimización de datos y la seguridad. Esto impone desafíos adicionales para las empresas, ya que deben garantizar que sus sistemas cumplan con estándares rigurosos.
Conclusiones y Recomendaciones para Tratamientos biométricos en el ámbito laboral
La guía de la AEPD ofrece las siguientes recomendaciones y buenas prácticas para el uso de datos biométricos en el ámbito laboral:
- Informar previamente y de forma clara y completa a los trabajadores sobre el tratamiento de sus datos biométricos, los fines, la base legal, los derechos y las medidas de seguridad.
- Elegir el sistema de control laboral cumpliendo el principio de proporcionalidad, la minimización de datos y el riesgo para los derechos y libertades .
- Garantizar la seguridad y la confidencialidad de los datos biométricos, aplicando medidas técnicas y organizativas que eviten su acceso, alteración, pérdida o divulgación no autorizados.
- Respetar los derechos de los trabajadores en relación con sus datos biométricos, como el derecho de acceso, rectificación, supresión, limitación, oposición y portabilidad.
- Realizar una evaluación de impacto sobre la protección de datos antes de implantar un sistema de control laboral basado en datos biométricos, siguiendo las directrices de la AEPD y del Comité Europeo de Protección de Datos
Las nuevas directrices de la AEPD no solo representan un cambio en la regulación de los tratamientos biométricos en trabajo, sino que también plantean desafíos significativos. En este nuevo panorama, es crucial considerar estrategias alternativas, como la negociación colectiva, y mantenerse informado sobre posibles desarrollos normativos futuros.
La protección de datos y la privacidad de los empleados son fundamentales para garantizar la seguridad laboral y la preservación de los derechos fundamentales. Las empresas y los profesionales del derecho deben adaptarse ágilmente a los cambios normativos para cumplir proteger los intereses de todas las partes involucradas.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!