AD 119/2022
LA NORMATIVA DE PROTECCIÓN DE DATOS APLICABLE AL USO DE CONTROLES BIOMÉTRICOS EN EL ÁMBITO LABORAL.
Resumen
Entre los sistemas para registro de jornada laboral y de control de horario utilizados tanto por entidades públicas como privadas, no es extraño encontrar sistemas de reconocimiento biométrico. Sin embargo, esto deberá cambiar a partir de la publicación de las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD) que aclaran que tanto los datos biométricos tratados en la función de autenticación como en la de identificación, forman parte de las categorías especiales de datos personales, lo que implica que su tratamiento quedaría prohibido, salvo en algunos casos puntuales contenidos en el artículo 9 del Reglamento General de Protección de Datos (RGPD).
El presente artículo pretende evaluar las alternativas que permitirían alinear los sistemas de control de acceso biométrico en el ámbito laboral con las exigencias del RGPD, para esto es imprescindible analizar la idoneidad del artículo 20.3 del Estatuto de los Trabajadores (ET) como fuente de autorización legal del tratamiento de datos biométricos en sistemas de registro de jornada.
Abstract
Among the systems used by both public and private entities to record working times and timekeeping, it is not uncommon to find biometric recognition systems. This should change with the publication of the Guidelines 05/2022 of the European Data Protection Board (EDPB), which clarify that whether biometric data processed in the authentication or identification function are special categories of personal data, this implies that their processing would be prohibited, except in some specific cases included in Article 9 of the General Data Protection Regulation (GDPR).
This article aims to evaluate the alternatives that would make it possible to bring biometric access control systems in the workplace into line with the requirements of the GDPR, for which it is essential to analyse the suitability of article 20.3 of the Workers’ Statute (ET) as a source of legal authorisation for the processing of biometric data.
Palabras clave: Controles biométricos, derecho a la protección de datos, registro de jornada laboral, categorías especiales de datos, restricción de derechos fundamentales, relación laboral.
Keywords: Biometric controls, right to data protection, working time registration, special categories of data, restriction of fundamental rights, employment relationship.
- Introducción
El tratamiento de datos biométricos no deja de ser controvertido debido a los posibles riesgos que puede generar su uso inadecuado, entre los que se encuentran la disminución gradual de la intimidad, posibles situaciones de discriminación, riesgo de suplantación y el impacto en el derecho a la protección de datos. La probabilidad de que estos riesgos se materialicen justifica el establecimiento de medidas normativas de protección. Una de estas medidas se encuentra en el artículo 9 del RGPD, el cual prohíbe el tratamiento de categorías especiales de datos personales, que por su capacidad de afectar gravemente derechos fundamentales merecen una protección especial, entre estas se encuentran los datos biométricos dirigidos a la identificación única de una persona.
A pesar de esta prohibición, la implantación de medidas de control laboral basadas en datos biométricos es una práctica habitual en España, lo cual se puede explicar por el carácter obligatorio del registro de jornada laboral, sumado a los avances de la técnica en materia de sistemas biométricos, al abaratamiento de este tipo de soluciones y al auge de la transformación digital (GT Art. 29, 2012). Al margen de lo anterior, hasta ahora, la Agencia Española de Protección de Datos (AEPD) ha interpretado que solo cierto tipo de datos biométricos, los dirigidos a la identificación biométrica (uno-a-varios), entrarían en la categoría especial de datos, lo que dejaría por fuera de la prohibición general del artículo 9 RGPD (2021), el tratamiento de datos biométricos con fines de verificación.
Recientemente, el CEPD (2022) publicó las Directrices 05/2022 en las que aclaró que tanto los datos biométricos tratados en la función de verificación como en la de identificación, forman parte de las categorías especiales de datos personales. Habida cuenta de la evidente discrepancia entre la aclaración hecha por el CEPD y la interpretación de la normativa de protección de datos, que, hasta el momento había servido de base jurídica para la implantación de sistemas de control biométrico en el trabajo, resulta importante analizar las repercusiones de estas Directrices y las posibles alternativas que permitirían alinear los sistemas de control de acceso biométrico en el ámbito laboral con las exigencias del RGPD.
La redacción del artículo 9.1 del RGPD ha suscitado controversias sobre el alcance de la prohibición del tratamiento de datos biométricos. Así por ejemplo, la AEPD, sostuvo que “con carácter general, los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)” (2021, p. 31). Contrario a la interpretación de la AEPD, la APDCat (2020) afirmó que la expresión “dirigidos a identificar de manera unívoca” se refiriere tanto a la identificación como a la autenticación de la identidad de la persona.
Estas diferencias interpretativas generan un ambiente de inseguridad jurídica, tanto para los interesados, que desconocen el alcance de la protección de sus datos, como para las empresas que deben elegir entre, prescindir de todas las medidas de control basadas en datos biométricos que podrían no cumplir con la normatividad en materia de protección de datos, o arriesgarse a la imposición de sanciones por incumplimiento de la dicha normatividad.
Con la publicación de las Directrices sobre el uso de técnicas de reconocimiento facial en el ámbito de aplicación de la ley, el CEPD (2022) pone fin al debate sobre el alcance de la prohibición del tratamiento de datos biométricos contenida en el artículo 9 del RGPD y se deja claro que, salvo las excepciones contempladas en el mismo artículo, el tratamiento de datos biométricos que se realiza en los sistemas de identificación por ser tratamiento de categorías especiales de datos quedaría en principio prohibido.
Teniendo en cuenta que cualquier tipo de sistema de reconocimiento biométrico debe ajustarse a las exigencias que supone la especial protección que merecen las categorías especiales de datos, para implantar este tipo de medidas en el contexto laboral, es indispensable considerar la excepción contenida en el artículo 9.2.b) RGPD, según el cual, la prohibición del tratamiento de datos biométricos podrá exceptuarse en los casos en que concurran dos requisitos:
Por una parte, que el tratamiento sea necesario para el cumplimiento de obligaciones o el ejercicio de derechos específicos del empleador o de la persona interesada en el ámbito del derecho laboral o de la seguridad y protección social y, por otra, que el tratamiento lo autorice el derecho de la Unión o de los Estados miembros o un convenio colectivo y que sean establecidas las garantías de respeto de los derechos fundamentales y de los intereses de las personas afectadas (APDCat, 2018).
- Requisito de la necesidad
La determinación de si una medida es necesaria supone una doble evaluación fáctica; en primer lugar, es necesario evaluar la eficiencia de la medida para lograr el objetivo perseguido y, en segundo lugar, debe establecerse si dicha medida es la menos invasiva en comparación con las demás opciones que permitirían alcanzar el mismo propósito (SEPD, 2017).
Para evaluar la eficiencia de una medida, es necesario realizar un análisis del caso concreto que permita contrastar las características propias del sistema que se desea implementar en relación con la obligación o derecho específico a cumplir. A grandes rasgos, parece probable que un sistema biométrico pueda suplir eficientemente la necesidad del empleador de verificar el cumplimiento de ciertas obligaciones y deberes laborales por parte de las personas trabajadoras (Rodríguez, 2019). Lo que no parece probable es que una medida de control que implique tratamiento de categorías especiales de datos sea considerada la menos invasiva, en comparación con las demás opciones que permitirían alcanzar el mismo propósito.
La APDCat (2018) también expresó sus dudas sobre la admisión de sistemas de control de horario basados en datos biométricos y concluyó que, debido a “la especial naturaleza de estos datos, parece que se deberá optar, en primer lugar, por otros sistemas de control que, sin utilizar categorías de datos especialmente protegidos, puedan permitir alcanzar la misma finalidad” ( p. 6).
En cualquier caso, para cumplir con el artículo 35 del RGPD, antes de la implantación de un sistema biométrico en el entorno laboral, resulta necesario realizar una evaluación de impacto relativa a la protección de datos personales para determinar tanto la legitimidad del tratamiento y su proporcionalidad como los riesgos existentes y las medidas para mitigarlos (APDCat, 2018).
- Autorización del derecho de la Unión o de los Estados miembros o un convenio colectivo
En relación con la autorización del derecho de los Estados miembros para el tratamiento de datos sensibles, el Dictamen 63/2018 aclaró que, en el caso de España, “de acuerdo con las exigencias constitucionales, la norma que lo prevea, por tratarse del desarrollo de un derecho fundamental, deberá tener rango de ley (artículo 53 del CE)” (APDCat, 2018, p. 4).
En el ordenamiento jurídico español existen dos normas con rango de ley de las cuales podría desprenderse una autorización a los empleadores para el tratamiento de datos con fines de control de las personas trabajadoras. En primer lugar, el artículo 20 del Texto Refundido del Estatuto de los Trabajadores (ET), aprobado por el Real Decreto Legislativo 2/2015 del 23 de octubre, que prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores. En segundo lugar, el artículo 34.9 del Real Decreto-ley 8/2019, según el cual, “La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora”. Cabe resaltar que, en ninguno de los dos casos, existe una referencia expresa a la autorización para utilizar categorías especiales de datos con esta finalidad y, mucho menos, datos biométricos (Gracia, 2019).
- Idoneidad del artículo 20.3 ET como fuente de autorización legal en el sentido del artículo 9.2.b del RGPD
La AEPD y la APDCat sostienen diferentes posturas sobre la idoneidad del artículo 20.3 ET como fuente de autorización legal, que permita levantar la prohibición del tratamiento de categorías especiales de datos, en virtud del artículo 9.2.b) del RGPD.
Como se expuso en la guía sobre la protección de datos en las relaciones laborales, la AEPD no descarta la posibilidad de implementar sistemas de identificación biométrica en el ámbito laboral (2021), A tal efecto, reconoció la idoneidad del artículo 20.3 ET como fuente de autorización, según lo exigido por la excepción del artículo 9.2.b) del RGPD. Por el contrario, la APDCat, en relación con el control mediante reconocimiento facial, rechazó esta posibilidad y argumentó la falta de previsibilidad de la normativa (APDCat, 2022). Esta argumentación es plenamente trasladable a las medidas de acceso basadas en datos biométricos en general.
Para determinar cuál de las dos posiciones resulta más coherente, es necesario realizar un análisis normativo desde la perspectiva laboral, del derecho a la protección de los datos y especialmente del derecho constitucional.
En primer lugar, desde la perspectiva laboral, puede concluirse que el artículo 20.3 ET faculta al empleador para “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”, imponiendo como única condición, la consideración debida a la dignidad de las personas trabajadoras (Rodríguez, 2019).
Sin embargo, desde la perspectiva del derecho a la protección de datos, esta norma carece de una autorización concreta para tratar datos personales y particularmente, categorías especiales de datos, como los datos biométricos. Además, tampoco establece “garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”, tal como lo exige el mismo artículo 9.2.b) del RGPD.
Tratándose de un derecho fundamental, es necesario además considerar de forma especial, la perspectiva del derecho constitucional. De acuerdo con las exigencias constitucionales del artículo 53 del CE, la norma que prevea la autorización del levantamiento de la excepción, por tratarse del desarrollo de un derecho fundamental debe tener rango de ley. Esta reserva legal, tal como lo reconoce el Tribunal Constitucional en la Sentencia 49/1999, tiene dos funciones: por un lado, “asegura que los derechos que la Constitución atribuye a los ciudadanos no se vean afectados por ninguna injerencia estatal no autorizada por sus representantes” (p. 17); y, por el otro, garantiza la “seguridad jurídica en el ámbito de los derechos fundamentales y las libertades públicas” (p. 17).
En adición, el Tribunal Constitucional en Sentencia 76/2019, reconoció que toda injerencia en el ámbito de los derechos fundamentales requiere, no solo una habilitación legal, si no que, además, la norma en cuestión debe cumplir con unas exigencias de previsibilidad y certeza, para lo cual, debe predeterminar “los supuestos, las condiciones y las garantías en que procede la adopción de medidas restrictivas de derechos fundamentales” (2019, p. 19).
Si bien el artículo 20.3 ET cumple la primera exigencia constitucional mencionada, en tanto que se trata de una norma con carácter de ley, no sucede lo mismo en relación con las exigencias de previsibilidad y certeza en los límites, toda vez que, la facultad del empleador para adoptar medidas restrictivas que pretende otorgar esta norma, no hace referencia al modo de aplicación de los límites que impone, ni mucho menos a la posibilidad de restringir categorías especiales de derechos y tampoco se determinan elementos esenciales como las condiciones y garantías en que las que el tratamiento de datos, en principio prohibido, deviene legitimo.
Por otro lado, la obligación formal de llevar a cabo el registro diario de la jornada de trabajo prevista en el artículo 34.9 ET, tampoco establece una modalidad específica para el cumplimiento de esta obligación, si no que se limita a señalar que debe realizarse cada día e incluir el momento de inicio y finalización de la jornada. Los demás elementos pueden ser autorregulados (Ministerio de Trabajo y Economía Social, 2022).
Por las razones expuestas, debe asumirse que, en este momento, las únicas excepciones del artículo 9.2 RGPD, que permitirían alinear los sistemas de control de acceso biométrico en el ámbito laboral con las exigencias del RGPD, serían, preferentemente realizar un acuerdo mediante un convenio colectivo en virtud de la excepción del artículo 9.2.b) del RGPD y, en casos excepcionales, recurrir a la base del consentimiento, siempre que sea posible demostrar que el consentimiento es verdaderamente libre. Lo anterior, sin perjuicio del cumplimiento del resto de requisitos que se derivan de la normativa de protección de datos que han sido expuestos a lo largo de este trabajo.
Conclusiones
- A partir de la publicación de las Directrices 05/2022, es posible concluir que el tratamiento de datos biométricos ya sea con fines de identificación o de autenticación, constituye tratamiento de categorías especiales de datos personales (2022) y por lo tanto, quedaría prohibido, salvo algunas excepciones contempladas en el artículo 9.2 RGPD.
- En relación con lo anterior, se evidenció que el tratamiento de datos biométricos, está significativamente restringido, no solo por la prohibición del tratamiento de categorías especiales de datos, sino además por las exigencias derivadas de la protección de datos desde el diseño y del principio de minimización, que obligan a optar por las medidas que resulten menos intrusivas desde la perspectiva de la protección de datos. Por lo tanto, en materia de control de jornada laboral, antes de considerar soluciones basadas en datos biométricos, se deberían tener en cuenta varias opciones que permitirían alcanzar el mismo fin y son menos invasivas, por ejemplo, el uso de claves personales, los sistemas de videovigilancia o los sistemas de marcaje basados en tarjetas personales o tokens (APDCat, 2018).
- Finalmente, del análisis de los artículos 20.3 y 34 ET, se puede concluir que estas normas no cumplen las exigencias de previsibilidad y certeza que han sido reconocidas por el Tribunal Constitucional. Por lo tanto, la implementación de sistemas biométricos de control de jornada, no puede justificarse en la obligación de establecer un sistema de cómputo de la jornada laboral diaria establecida el Estatuto de los Trabajadores.
Diana Martínez
Berlín, 11 de noviembre de 2022
Agencia Española de Protección de Datos [AEPD]. (2021). Guía sobre protección de datos y relaciones laborales. https://www.aepd.es/es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf
Autoridad Catalana de Protección de Datos [APDCat]. (2018). Dictamen 63/2018, en relación con la consulta formulada por un colegio profesional sobre la utilización de sistemas de control basados en la huella dactilar. http://apdcat.gencat.cat/es/documentacio/resolucions-dictamens-i-informes/cercadorOn/cercador-detall/CNS-63-2018
Autoridad Catalana de Protección de Datos [APDCat]. (2020). Consideració de determinades dades biomètriques com a categoria especial de dades. http://apdcat.gencat.cat/es/documentacio/resolucions-dictamens-i-informes/cercadorOn/cercador-detall/CNS-21-2020-00001
Autoridad Catalana de Protección de Datos [APDCat]. (2022). Implantación de un sistema de control horario mediante reconocimiento facial. http://apdcat.gencat.cat/es/documentacio/resolucions-dictamens-i-informes/cercadorOn/cercador-detall/CNS-2-2022-00001
Comité Europeo de Protección de Datos [CEPD]. (2022). Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement | European Data Protection Board. https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-052022-use-facial-recognition_en
Gracia, D. (2019, Agosto). El impacto de la privacidad en los sistemas biométricos de control de acceso y horario laboral tras el Dictamen 63/2018 de la Autoridad Catalana de Protección de Datos. Consultor de los ayuntamientos y de los juzgados: Revista técnica especializada en administración local y justicia municipal, 8, 56-65.
Grupo De Trabajo del Artículo 29 [GT Art. 29]. (2012). Dictamen 3/2012 sobre la evolución de las tecnologías biométricas. https://www.aepd.es/sites/default/files/2019-12/wp193_es.pdf
Ministerio de Trabajo y Economía Social. (2022). Guía sobre el registro de jornada del Ministerio de Trabajo y Economía Social. https://www.mites.gob.es/ficheros/ministerio/GuiaRegistroJornada.pdf
Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores. Boletín Oficial del Estado, 255, 24 de octubre de 2015. https://www.boe.es/buscar/act.php?id=BOE-A-2015-11430
Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. Boletín Oficial de Estado, 61, de 12 de marzo de 2019. https://www.boe.es/buscar/doc.php?id=BOE-A-2019-3481
Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Diario Oficial de la Unión Europea L 119/1, de 04 de mayo de 2016 https://www.boe.es/doue/2016/119/L00001-00088.pdf
Rodríguez, M. (2019, Octubre 21). Las facultades de control de datos biométricos del trabajador. Temas laborales: Revista andaluza de trabajo y bienestar social, 150, 91-109.
Supervisor Europeo de Protección de Datos [SEPD]. (2017). Manual para la evaluación de la necesidad de las medidas que limiten el derecho fundamental a la protección de datos de carácter personal. https://edps.europa.eu/data-protection/our-work/publications/papers/necessity-toolkit_es
Tribunal Constitucional de España. (1999). Sentencia 49/1999, de 5 de abril. . Madrid, España.
Tribunal Constitucional de España. (2019). Sentencia 76/2019, de 22 de mayo de 2019. . Madrid, España.
Afiliación de la autora:
Diana Martínez Campuzano
Senior Transactional Lawyer en Freshfields Bruckhaus Deringer
Egresada del Máster en Protección de Datos y Seguridad de la Información de la Universidad Complutense de Madrid, España
LL.M Universidad de Colonia, Alemania
Abogada de la Universidad de Antioquia, Colombia
