¿Es legal el uso de datos biométricos para el control de presencia y acceso?
Laboral
El Reglamento General de Protección de Datos (RGPD) define los datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan la identificación única de esta persona, como imágenes faciales o datos dactiloscópicos.
Es habitual que las empresas, en los últimos años, hayan implementado sistemas de control de acceso y registro de jornada laboral que utilicen datos biométricos, como es el caso de la huella dactilar, es decir, el fichaje mediante el dedo.
Pese a que el RGPD prohíbe, con carácter general, el tratamiento de datos biométricos, este sistema de control de acceso y registro de jornada laboral estaba admitido por tener como base de legitimación alguna de las recogidas en el artículo 9.2 del RGPD, esto es: la existencia de una norma con rango legal que obligue a la empresa a tratar estos datos o a disponer del consentimiento explícito del interesado.
Por tanto, hasta el momento, el criterio mayoritario era que, si la empresa obtenía el consentimiento explícito y debidamente informado de sus trabajadores, podía implementar sistemas de control de acceso y registro de jornada laboral que utilizaran datos biométricos.
Este criterio se ha visto restringido por la Agencia Española de Protección de Datos (AEPD) cuando, en noviembre de 2023, publicó la “Guía sobre tratamiento de control de presencia mediante sistemas biométricos”, de acuerdo con los nuevos criterios fijados por las directrices del Comité Europeo de Protección de Datos.
El reciente pronunciamiento de la AEPD advierte que el consentimiento explícito y debidamente informado de los trabajadores, no se considera por sí solo una base de legitimación suficiente para hacer uso de estos sistemas, por ser un tratamiento de alto riesgo que incluye categorías especiales de datos.
De acuerdo con la AEPD, la empresa, para utilizar estos sistemas y tratar con datos biométricos, debería acreditar objetivamente que estos sistemas de tratamiento son estrictamente necesarios, debiendo llevar a cabo un análisis de riesgos, una evaluación de impacto y superar un test de idoneidad, necesidad y proporcionalidad de manera que, entre otros, habrá que valorar la finalidad, como por ejemplo el fichaje mediante tarjetas, así como justificar una base de legitimación válida, como sería una norma con rango de ley que posibilite la utilización de datos biométricos para tal fin, circunstancia que no se da, en la actualidad, en nuestro ordenamiento jurídico.
En conclusión, la AEPD no prohíbe taxativamente la utilización de sistemas de control de acceso y registro de jornada laboral que traten datos biométricos, pero establece unos límites y requisitos tan estrictos, que se desaconseja utilizar estos sistemas ante la inseguridad jurídica actual, aunque en un futuro la AEPD pueda establecer criterios más concretos sobre este tratamiento.
