AD 95/2019
ABSTRACT:
La reciente obligación del empleador de controlar la jornada laboral de sus empleados ha llevado a multitud de empresas a establecer un sistema de control horario basado en el uso de la huella dactilar. Con la introducción del Reglamento General de Protección de Datos y toda la normativa derivada del mismo, se ha considerado a los datos biométricos-entre los mismos se encuentra la huella dactilar- como datos de categoría especial. Además, al encontrarnos en el ámbito laboral, toda medida que restrinja los derechos fundamentales del trabajador, deberá ser analizada por el principio de proporcionalidad. El objetivo del artículo será analizar la viabilidad jurídica y el impacto sobre la protección de datos de este tipo de sistemas para determinar si se consideran validos en el entorno laboral, y las consecuencias que puedan derivarse del mismo.
PALABRAS CLAVE:
RGPD, HUELLA DACTILAR, DATOS BIOMÉTRICOS, PRINCIPIO DE PROPORCIONALIDAD.
La instalación de un sistema de control y acceso horario basado en la recogida y tratamiento de un patrón de huella dactilar de los empleados implica el tratamiento de sus datos personales (recordamos la definición de dato de carácter personal del artículo 4.1 del RGPD como “toda información sobre una persona física identificada o identificable”.
En este tipo de aplicaciones, según la información recabada a distintos proveedores de este tipo de servicios, el sistema de huella dactilar no almacena la huella completa, sino una representación(minutae) de la información biométrica de la huella del usuario. Esta representación, está formada por una serie de coordenadas, que si las unes conforman lo que se denomina patrón de huella dactilar. A continuación, vamos a explicar como para poder llegar a este patrón es necesario realizar un tratamiento de un dato biométrico, como es la huella dactilar.
Entendemos que para la representación formada por coordenadas es necesario recabar la huella del trabajador para así poder establecer este patrón y por lo tanto se está realizando un tratamiento de datos y además de un dato biométrico (considerado un dato de categoría especial y que debe gozar de una mayor protección como ahora veremos). Es cierto que, una vez que se toma la huella al trabajador, se procede a aplicar una serie de medidas técnicas y organizativas para que la información biométrica no pueda ser identificada o identificable, en concreto, se utiliza la disociación. Este concepto no aparece recogido en el RGPD, ni en la nueva LOPDGDD, pero si venía contemplado en la anterior legislación (derogada actualmente), concretamente en el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal
“Dato disociado: aquél que no permite la identificación de un afectado o interesado”
El concepto de dato disociado se encuentra estrechamente relacionado con otra de las medidas técnicas y organizativas que se utilizan en la actualidad para la protección de los datos de los interesados: la anonimización. La diferencia entre ambos términos, se basa en que cuando se procede a la disociación no se permite la identificación, pero dicha identificación no es definitiva, ¿qué significa esto? No es imposible volver a identificar a esa persona, es decir, se podría llegar a identificar, y es por ello que, sería identificable. La anonimización garantiza- aunque ahora veremos que no en todos los procesos- esa irreversibilidad, de tal forma que, dicha información no sería posible acceder a ella de ninguna de las maneras.
La Agencia Española de Protección de Datos establece las siguientes directrices sobre los procesos de anonimización (en adelante AEPD) sobre “orientaciones en los procedimientos de anonimización”- que la define de la siguiente forma:
“En la fase de anonimización se realiza la disociación definitiva e irreversible de los datos personales”
Y matiza lo siguiente sobre los procesos de anonimización en el caso de los datos biométricos:
“En cuanto a los datos biométricos, la finalidad de la información anonimizada puede suponer una limitación a la anonimizacion de la información, dando lugar a determinadas excepciones en las que los datos no puedan ser anonimizados a fin de evitar cualquier distorsión crítica que se pueda producir en relación a la información no anonimizada (…) El proceso de anonimización no puede asegurar la imposibilidad de reidintificación de la persona en términos absolutos, motivo por el cual se deben tener en cuenta las garantías jurídicas necesarias para preservar los derechos de los interesados”
¿Qué quiero decir con todo esto? En primer lugar, para poder establecer el patrón de puntos que establece el proveedor de servicios para posteriormente anonimizar dicha información, ha sido necesario que previamente se haya recabado la huella al trabajador en cuestión, y por lo tanto, se ha producido un tratamiento de datos biométricos(dato de categoría especial) y además, como hemos podido constatar en las palabras de la AEPD en la guía citada ut supra, el proceso de anonimización en el caso de los datos biométricos no puede asegurar la reidentificacion de la persona en términos absolutos, es por ello que, no podemos garantizar al cien por cien que pueda identificarse a futuro al individuo que ha dado su huella.
Una vez comprendido que, en el supuesto de hecho planteado en este informe, se está llevando a cabo un tratamiento de datos biométricos y que este tipo de datos está encuadrado dentro de las “categorías especiales de datos personales” dicho tratamiento conlleva unas excepciones que matizaremos a continuación.
La huella dactilar o el patrón de huella dactilar se trata de un dato biométrico y así lo define el artículo 4.14 del RGPD cuando lo define:
“Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”
Esta tipología de datos, según el artículo 9 del RGPD es considerada como categorías especiales de datos personales, y que lleva aparejado la aplicación de un régimen específico. En este sentido el considerando 51 del RGPD pone de manifiesto el carácter restrictivo con el que se puede admitir el tratamiento de estos datos:
Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.
De acuerdo con lo plasmado en este considerando, el tratamiento de datos biométricos necesitará la concurrencia de alguna de las bases de legitimación del artículo 6 del RGPD (consentimiento, relación contractual, obligación legal, proteger interese vitales del interesado…) con alguna de las excepciones del artículo 9.2 del RGPD. En este sentido si aplicamos la excepción del consentimiento explícito del trabajador para el tratamiento de su huella, al encontrarnos en el terreno laboral, dicho consentimiento presentaría serios problemas. Dicho consentimiento tiene problemas jurídicos, ya que, puede alegar el trabajador que se siente presionado para prestar su consentimiento(por ejemplo por miedo a perder su puesto si no presta el consentimiento al efecto), y además puede derivar en problemas operativos internos para su aplicación, aun asumiendo que el consentimiento fuera válido, como expresa el RGPD, dicho consentimiento podría revocarse en cualquier momento, y es entonces, cuando nada ni nadie podría impedir la revocación del consentimiento del trabajador. Además, la otra excepción a la que podríamos acogernos- el tratamiento es necesario para el cumplimiento de obligaciones en el ámbito del derecho laboral- no sería viable, ya que, no tenemos una previsión legislativa expresa de una norma laboral, ya que, la obligación legal sería el establecimiento en el ámbito empresarial de un control laboral, pero en ningún caso, a partir del tratamiento de datos de categoría especial. En este punto, dicha tratamiento biométrico no estaría legitimado y no cumpliría con las excepcione del artículo 9.2 del RPGD y todo ello podría derivar en problemas jurídicos para la sociedad.
Por lo tanto, el dato biométrico, con la nueva regulación (en las normas anteriores los datos biométricos no eran datos de categoría espacial) es considerado un dato de categoría especial y necesitaremos la concurrencia de los requisitos nombrados, y en las condiciones descritas tendríamos muchas dificultades para que dicho tratamiento fuera lícito y además que cumpliera con las excepciones del artículo 9.2 del RGPD, conllevando todo ello un riesgo elevado.
Por último, al tratarse el control laboral mediante el uso de huella dactilar una medida que puede restringir los derechos fundamentales de un ciudadano- y así lo viene expresando la jurisprudencia del Tribunal Constitucional desde sus inicios- tiene que atenerse al principio de proporcionalidad(Sentencia del Tribunal Constitucional 39/2016 de 3 de marzo), y para comprobar si una medida restrictiva de derechos fundamentales supera el juicio de proporcionalidad, es necesario que cumpla los tres requisitos siguientes:
- Si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad): En este apartado podemos afirmar que se cumple con el objetivo previsto que sería llevar un control horario dentro del ámbito empresarial, y con dicha medida se conseguiría la finalidad perseguida.
- Si tal medida es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad): En este apartado tendríamos serios problemas, ¿por qué? Existen medidas menos moderadas para la finalidad del control laboral y con igual eficacia. Pongo dos ejemplos que se me ocurren: El primero de ellos y el más sencillo, el uso de una tarjeta-lector acompañado de una cámara de videovigilancia en el lugar donde se tenga que fichar, y así podemos garantizar que realmente esa persona es la que está fichando y no es un compañero con su tarjeta. En este supuesto no se está recabando un dato de categoría especial del trabajador y se garantiza el cumplimiento de la finalidad. Otro ejemplo, lo pone la directora de la AEPD en una conferencia ante la CEOE recientemente y en el que dijo que era perfectamente válido: Se trataría de un sistema por huella (se utilizaría la biometría), sustancialmente, se graba la huella, se encripta y se apareja no a nombres y apellidos, sino a un identificador- en ese caso al número de matrícula del alumno- y además, la conservación de dicha huella dactilar está en una tarjeta que queda en poder del sujeto, sin grabarse en un ningún sistema, además se propondría como medida técnica y organizativa que dicho dato estuviera encriptado en la tarjeta(y así si el usuario pierde la tarjeta no pone en peligro posibles responsabilidades exigibles a la empresa por la pérdida de la tarjeta de un trabajador).
- Si la misma es ponderada o equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros viene o valores en conflicto: No sería necesario entrar a valorar este último apartado, ya que, el juicio de necesidad no se vería cumplido y es por ello que, nos detendríamos en ese punto para decir que no se cumple con dicho principio.
Por lo tanto, parece claro que este segundo apartado del juicio de proporcionalidad (el apartado sobre el juicio de necesidad) en el supuesto de hecho planteado no lo superaría y por lo tanto dicha medida restrictiva de derechos fundamentales no sería valida y es por ello que, no podemos recomendar su uso.
Además, hay que tener en cuenta que, en cualquier caso, el tratamiento en cuestión (utilización de datos biométricos para el control laboral) debe cumplir con el resto de principios u obligaciones derivados de la normativa de protección de datos, en especial, el principio de minimización de los datos, recogido en el artículo 5.1.c del RGPD:
“Los datos personales serán: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (<<minimización de los datos>>)”
Así lo expresa también la Recomendación CM/Rec (2015) 5 del Consejo de Ministros del Consejo de Europa a los Estados Miembros sobre el tratamiento de datos personales biométricos en el contexto laboral. En concreto, el principio 18 de esta Recomendación establece lo siguiente:
18.1 “La recopilación y posterior procesamiento de los datos biométricos solo se deberían emprender cuando hay que proteger los intereses legítimos de empresarios, empleados o terceros, solo si no hay otros medios menos intrusivos disponibles y solo si se acompaña de las garantías adecuadas previstas en el principio
18.2. El tratamiento de los datos biométricos se debe basar en métodos científicamente reconocidos y debe estar sujeto a los requisitos de estricta seguridad y proporcionalidad”.
A mayor abundamiento, en este sentido se pronuncia también el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29 sobre la evolución de las tecnologías biométricas afirmaba lo siguiente en relación al tema:
“Al analizar la proporcionalidad de un sistema biométrico propuesto, es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable. Un segundo factor que debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar. Un tercer aspecto a ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, 6 entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado.”
En definitiva, de acuerdo con las referencias mencionadas (sentencias, resoluciones de autoridades de control, recomendaciones de autoridades europeas…) una vez que los datos biométricos han sido considerados especialmente protegidos, y todo ello, relacionado con el ámbito en el que nos estamos moviendo(laboral) no parece tan claro que el uso de sistemas de control horario basados en este tipo de datos deba ser admitido como medio preferente para llevar a cabo el control. Más bien al contrario, dada la especial naturaleza de estos datos, parece que deberá optarse en primer lugar por otros sistemas de control que, sin utilizar categorías de datos especialmente protegidos, puedan permitir alcanzar la misma finalidad.
Además, algunas autoridades de control en materia de protección de datos del resto de países de la Unión Europea (La Commission Nationale de L´informatique et des Libertés, autoridad de control francesa y Garante per la protezione dei dati personali de Italia, autoridad de control italiana) no han admitido la utilización de sistemas de control basados en datos biométricos como sistema generalizado de control horario de los trabajadores por parte del empresario. Parece muy probable, que la autoridad de control española (AEPD) tome una decisión al respecto próximamente y que vaya encaminada a este sentido, por lo que, en atención al principio de responsabilidad proactiva y haciendo labor de derecho preventivo, aconsejamos no utilizar los sistemas biométricos.
Me gustaría traer a colación como cita final del artículo una frase de William Shakespeare:
“El hombre cauto jamás deplora el mal presente; emplea el presente en prevenir las aflicciones futuras”
Marcos Rubiales Olmedo.
Madrid, 30 de octubre de 2019
PERFIL PROFESIONAL
Marcos Rubiales Olmedo es graduado en Derecho y Ciencias Políticas, con gran interés por el mundo de la abogacía y especialmente en el Derecho de las Nuevas Tecnologías, motivado por ámbitos como: Propiedad Intelectual, Patentes y Marcas, Comercio Electrónico, contratos informáticos, y en especial en la Protección de Datos de carácter personal, habiendo realizado el Curso de Delegado de Protección de Datos de Aranzadi (programa formativo que cumple con los requisitos establecidos en el esquema de certificación de la Agencia Española de Protección de Datos).
También he desempeñado labores relacionadas con el Derecho Civil (incluyendo Derecho de Familia), Derecho Penal y Derecho Mercantil. Resumen de cualificaciones
PERFIL DIGITAL : Linkedin
