AD 110/2022
Dime “registro de jornada con datos biométricos” y te diré de qué careces.
RESUMEN
Venimos de una generación marcada por películas de ciencia ficción que nos mostraban tecnologías futuristas aparentemente inalcanzables (aunque nada más lejos de la realidad). En pleno inicio del siglo XXI, ya estamos presenciando una auténtica revolución tecnológica sin precedente que viene marcada, entre otras cosas, por la globalización, la creación y uso de nuevas tecnologías –como la Inteligencia Artificial–, la rapidez y calidad en las cadenas de producción… Y, como no, esto ha desencadenado un cambio en la sociedad y en nuestra calidad o estilo de vida.
Por ejemplo, en los últimos años el uso de sistemas de identificación biométrica ha ido extendiéndose hasta llegar a ámbitos como el laboral. A consecuencia de ello, la Agencia Española de Protección de Datos (AEPD, en adelante) dictó hace unos meses su primera resolución sancionadora respecto al tratamientos de datos biométricos (identificación por reconocimiento facial) por parte de una entidad para el registro diario de jornada laboral de sus empleados.
En el presente artículo voy a hablar sobre un tipo de sistema que, sin lugar a duda, destaca por su comodidad y utilidad, pero que desde el punto de vista de la protección de datos personales tiene un mayor trasfondo y complejidad.
PALABRAS CLAVE
Protección de datos, datos biométricos, categorías especiales de datos, registro de jornada laboral.
1.- EL CONCEPTO DE DATO BIOMÉTRICO
Para poder entender la cuestión controvertida, es necesario entender que no cualquier dato puede considerarse dato biométrico, y que no todo dato biométrico es un dato de categoría especial.
El artículo 4.1) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) define datos personales como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
Por otro lado, el mismo artículo en su apartado 14 especifica que datos biométricos son los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
En síntesis, los datos biométricos son datos que se extraen de las características propias de las personas; se extrae información sobre propiedades biológicas, rasgos de la personalidad o características fisiológicas a partir del cuerpo humano –como, por ejemplo, la huella dactilar, la voz, el iris, los tics, el comportamiento, etc.–. En palabras de la AEPD, “presentan la particularidad de ser producidos por el propio cuerpo y lo caracterizan definitivamente, son datos no sobre esa persona, sino que los datos se refieren a la misma persona”[1].
Este tipo de datos están expuestos a mayores riesgos por varios motivos, entre los que se encuentra el hecho de que revelan más información personal de los interesados que, por ejemplo, una contraseña o un nombre, ya que a partir de ellos se pueden revelar otra serie de datos como enfermedades, estados emocionales, género, raza, consumo de sustancias… Además, al estar procesados por sistemas, siempre corren el riesgo de sufrir una brecha de seguridad y, en caso de accesos no autorizados por terceros, el perjuicio para el interesado sería abismal en comparación con el acceso a otro tipo de datos; comprometer una contraseña no es lo mismo que comprometer un dato biométrico perteneciente a una persona que identifique de forma única su rostro, entre otros motivos, porque esta última no se puede cancelar[2].
En función de cómo se tratan y almacenan tales datos biométricos, se puede afirmar que los sistemas se dividen en dos amplios grupos o tipos: sistemas de identificación y de verificación o autenticación[3].
Los sistemas de identificación comparan los datos biométricos obtenidos de un individuo y los someten a un proceso en el que se comparan con una serie de plantillas biométricas que están almacenadas de forma previa en una base de datos común. Este proceso de búsqueda es de correspondencia uno-a-varios[4] o comparación 1:1N, es decir, que se reconoce a un individuo particular entre un grupo. Este tipo de sistemas responden a la pregunta “¿Quién es usted?”.
Por otro lado, los sistemas de verificación o autenticación obtienen los datos biométricos del individuo a través del mismo procedimiento pero, en vez de realizar el proceso de comparación con una base de datos común, los datos se comparan con una plantilla biométrica única almacenada en un dispositivo. Este proceso de búsqueda es de correspondencia uno-a-uno[5] o comparación 1:1, es decir, que se prueba si es cierta la identidad que un individuo reclama. Se respondería a la pregunta “¿Es usted realmente quien dice ser?”.
2.- CATEGORÍAS ESPECIALES DE DATOS
Determinar estos conceptos requiere un mayor estudio y evaluación de cada caso en particular, pero la finalidad de ambos tipos de sistemas es permitir o confirmar la identidad de una persona.
En cualquier caso, para el Reglamento General de Protección de Datos (RGPD, en adelante) los datos personales que, por su naturaleza, sean particularmente sensibles en lo que respecta a los derechos y libertades fundamentales, merecen una especial protección (considerando 51 RGPD).
Siguiendo esta línea, el artículo 9.1 RGPD prohíbe de forma generalizada el tratamiento de una serie de datos personales que atribuye la categoría de “especiales”, es decir, datos que merecen una especial protección frente al resto. Entre ellos se encuentran los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
Este artículo es centro de un debate abierto en el que se discute sobre si dicho precepto excluye de forma taxativa los datos biométricos dirigidos a verificar la identidad de una persona, considerando únicamente como datos de categoría especial los datos destinados a identificar a las personas. Sin entrar en él, la mayoría de autoridades coinciden en que así se trata, por lo que el sistema de identificación o uno-a-varios constituye un tratamiento de categoría especiales de datos por lo que, como norma general, su tratamiento está prohibido.
3.- REQUISITOS PARA SU USO CONFORME A LA NORMATIVA
En la resolución dictada por la AEPD (PS/00218/2021) se valoran diferentes factores que han de tenerse en cuenta antes del uso o implantación de este tipo de sistemas.
En primer lugar, independientemente del tipo de datos que se trate, todo tratamiento debe cumplir y respetar los principios fundamentales establecidos en el artículo 5 RGPD.
Entre estos principios, se encuentra el de licitud del tratamiento, que implica que todo tratamiento de datos personales debe cumplir –al menos– una de las condiciones establecidas en el artículo 6.1 RGPD.
Según la AEPD en la citada resolución, la única base legitimadora aplicable para el tratamiento de datos biométricos con el fin de realizar el registro de jornada laboral sería la necesidad de cumplir con una obligación legal aplicable al responsable del tratamiento [artículo 6.1.c)].
Esta obligación legal vendría impuesta por el artículo 34.9 del Estatuto de los Trabajadores, que establece la obligación legal de garantizar el registro diario de jornada por parte de la empresa empleadora.
Sin embargo, recordemos que en el presente caso estamos ante un sistema de identificación que trata datos cuyo tratamiento en principio está prohibido, a menos de que se de alguna de las excepciones recogidas en el artículo 9.2 RGPD.
Tras un análisis de las bases legitimadoras aludidas por la entidad reclamada, la AEPD llega a la conclusión de que la única excepción que guarda relación con el ámbito laboral y que podría levantar dicha prohibición es la establecida en el artículo 9.2.b) RGPD, que únicamente concurriría si “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
No obstante, en el caso que nos ocupa, la AEPD estima que “la causa de legitimación para realizar el control horario de la jornada laboral diaria sólo alcanza a la obligación de realizarla, pero no a realizarla utilizando datos biométricos”.
La siguiente tabla muestra visualmente y resume cuál sería la relación entre el tipo de sistema biométrico utilizado y la base legitimadora – levantamiento de la prohibición general:
Identificación | Verificación | ||
Base legitimadora
(art. 6.1 RGPD) |
· Consentimiento del interesado.
· Ejecución de un contrato. · Cumplimiento de una obligación legal aplicable al responsable del tratamiento. · Protección de intereses vitales. · Cumplimiento de una misión realizada en interés público o ejercicio de poderes públicos. · Satisfacción de intereses legítimos. |
||
Excepción de prohibición (art. 9.2 RGPD) | · Consentimiento explícito del interesado.
· Necesidad de cumplimiento de obligaciones y ejercicio de derechos específicos del responsable o interesado en el ámbito del Derecho laboral y de la seguridad y protección social. · Necesidad de protección de intereses vitales (cuando el interesado no esté capacitado para dar su consentimiento). · El tratamiento esté efectuado en el ámbito de sus actividades legítimas, con debidas garantías por ciertas entidades u organismos y persiguiendo ciertas finalidades. · Se trate de datos que el interesado haya hecho manifiestamente públicos. · Necesidad de formular, ejercer o defender reclamaciones, o los tribunales actúen en ejercicio de su función judicial. · Necesidad por razones de interés público esencial. · Necesidad para fines de medicina preventiva o laboral, evaluación de la capacidad del trabajador, prestación de asistencia o tratamiento sanitario o social, etc. · Necesidad por razones de interés público en el ámbito de la salud pública. · Necesidad con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. |
No aplica. | |
Para finalizar, la AEPD manifiesta que, además de tener presentes el resto de los principios básicos establecidos por el RGPD, antes de utilizar este tipo de tecnologías debe valorarse si existen alternativas menos intrusivas disponibles para perseguir la finalidad perseguida y respetar en cualquier caso principio de responsabilidad proactiva.
Ya se ha visto que el tratamiento realizado a través de este tipo de sistemas presenta altos riesgos para los derechos y libertades fundamentales de los empleados que han de tenerse en cuenta, por lo que es necesario realizar un uso restrictivo, auditar su funcionamiento y establecer una serie de garantías en consecuencia. Por ello, también es necesaria la realización de una evaluación de impacto en la protección de datos personales (EIPD).
Este es otro de los principales motivos de la decisión tomada por la AEPD: “La utilización de datos biométricos y, en particular, el RF entraña mayores riesgos para los derechos de los interesados. Es fundamental que el recurso a esas tecnologías se haga respetando debidamente los principios de legalidad, necesidad, proporcionalidad y minimización de los datos establecidos en el RGPD. Si bien el uso de estas tecnologías puede percibirse como particularmente eficaz, los responsables deben, en primer lugar, evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su objetivo legítimo del tratamiento”.
4.- CONCLUSIÓN
Decir que el avance de la tecnología ha ayudado a la humanidad en diferentes aspectos de la vida, es una realidad. Pero decir que el coste de ello es la intromisión en otros ámbitos como, por ejemplo, el de la intimidad, también.
Es indudable que este tipo de sistemas son garantistas para el empleador y que su uso es extremadamente cómodo, pero antes de proceder a su instalación, es necesario analizar su proporcionalidad y considerar si realmente es necesario para dar respuesta a una necesidad o si solo se trata de una cuestión de rentabilidad. Al amparo ya no solo de la normativa en materia en protección de datos, sino de los derechos y libertades de las personas, no hay que atender exclusivamente a las necesidades de la entidad, sino a riesgos que conlleva el uso de este tipo de sistemas y actuar en consecuencia.
Por ello, antes de utilizar un sistema con estas características, hay que evaluar la situación en concreto, respetar los principios fundamentales del tratamiento recogidos en el artículo 5 RGPD (determinando, sobre todo, una sólida base legitimadora del tratamiento y excepción a la prohibición general de tratamiento) y, por supuesto, no carecer de una Evaluación de Impacto relativa a Protección de Datos.
Paula Viadero
7 de octubre de 2022
BIBLIOGRAFÍA
- Agencia Española de Protección de Datos. (Junio 2020). 14 equívocos con relación a la identificación y autenticación biométrica. Recuperado de https://www.aepd.es/sites/default/files/2020-06/nota-equivocos-biometria.pdf
- Agencia Española de Protección de Datos. (Julio 2022). Empleo de datos biométricos: Evaluación desde la perspectiva de protección de datos. Recuperado de https://www.aepd.es/es/prensa-y-comunicacion/blog/datos-biometricos-evaluacion-perspectiva-proteccion-datos
- Autoridad Catalana de Protección de datos. (02 de febrero de 2022). Dictamen en relació amb la consulta formulada per un Ajuntament relativa a la conformitat a la normativa de protecció de dades de l’ús de dispositius de control de presència al lloc de treball mitjançant reconeixement facial. CNS 2/2022. Recuperado de https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2022/Documents/ca_cns_2022_002.pdf
- Comisión Europea (19 de febrero de 2020). Libro Blanco sobre la inteligencia artificial – un enfoque europeo orientado a la excelencia y la confianza. COM (2020) 65 final. Recuperado de https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_es.pdf
- Grupo de Trabajo del Artículo 29. (27 de abril de 2012). Dictamen 3/2012 sobre la evolución de las tecnologías biométricas. 00720/12/ES WP193. Recuperado de https://www.aepd.es/sites/default/files/2019-12/wp193_es.pdf
- Informe Jurídico 0036/2020 de la Agencia Española de Protección de Datos. Recuperado de https://www.aepd.es/es/documento/2020-0036.pdf
- Morató, L. (24 febrero 2022). “¿Es legal el reconocimiento facial para el registro de la jornada del trabajador?”. DiG Abogados. Recuperado de: https://www.dig.es/reconocimiento-facial-para-el-registro-de-la-jornada/
- Informe Jurídico 0047/2021 de la Agencia Española de Protección de Datos. Recuperado de https://www.aepd.es/es/documento/2021-0047.pdf
- Resolución de procedimiento sancionador, expediente N.º: PS/00218/2021. Recuperado de https://www.aepd.es/es/documento/ps-00218-2021.pdf
- Resolución de la Agencia Española de Protección de Datos PS/00050/2021. Recuperado de https://egida.es/wp-content/uploads/2022/03/20220315-Sancion-huella-seat.pdf
[1] Resolución de procedimiento sancionador, expediente N.º: PS/00218/2021. Recuperado de https://www.aepd.es/es/documento/ps-00218-2021.pdf
[2] Agencia Española de Protección de Datos. (Junio 2020). 14 equívocos con relación a la identificación y autenticación biométrica. Recuperado de https://www.aepd.es/sites/default/files/2020-06/nota-equivocos-biometria.pdf
[3] Comisión Europea (19 de febrero de 2020). Libro Blanco sobre la inteligencia artificial – un enfoque europeo orientado a la excelencia y la confianza. COM (2020) 65 final. Recuperado de https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_es.pdf
[4] Grupo de Trabajo del Artículo 29. (27 de abril de 2012). Dictamen 3/2012 sobre la evolución de las tecnologías biométricas. 00720/12/ES WP193. Recuperado de https://www.aepd.es/sites/default/files/2019-12/wp193_es.pdf
[5] Grupo de Trabajo del Artículo 29. (27 de abril de 2012). Dictamen 3/2012 sobre la evolución de las tecnologías biométricas. 00720/12/ES WP193. Recuperado de https://www.aepd.es/sites/default/files/2019-12/wp193_es.pdf
Paula Viadero González.
- Delegada de Protección de Datos Certificada y Asesora Jurídica en el despacho Picón & Asociados Abogados.
- Asociada Junior en la Asociación Profesional Española de Privacidad.
- Máster Universitario en Acceso a la Abogacía en la Universidad Antonio de Nebrija.
- Máster Experto en Derecho Digital en la Universidad de Deusto.
- Grado en Derecho en la Universidad de Cantabria.
LinkedIn: https://es.linkedin.com/in/paula-viadero-gonzález
Contacto: paula.viadero@hotmail.com