Cada vez es más frecuente que las empresas hayan implantado un sistema electrónico de control de presencia de empleados que sirve para verificar cuándo acceden a sus puestos de trabajo. Estos sistemas están alcanzando niveles de precisión que eran difíciles de imaginar hace solo unos años. Hoy día no es raro implementar mecanismos que permitan verificar esa presencia con mayor fiabilidad, usando datos que difícilmente pueden ser falsificados, como puedan ser las huellas dactilares, el iris, la voz o el rostro. En otras palabras, mecanismos de identificación biométrica.
Sin embargo, y a pesar de su utilidad, su implementación puede suponer riesgos legales que es posible que las propias empresas desconozcan.
Así, si analizamos lo que al respecto establece el vigente Reglamento General de Protección de Datos (Reglamento UE 2016/679) podemos destacar lo siguiente:
Prohibición de tratamiento en la normativa europea actual. Excepciones:
El RGPD, en su artículo 9.1, afirma a las claras que «quedan prohibidos (…) el tratamiento de datos (…) biométricos dirigidos a identificar de manera unívoca a una persona física«.
Por tanto, la regla general es la prohibición de tratamientos que afecten a datos biométricos.
Aun así, el propio artículo 9.2 del RGPD establece una serie de excepciones a esa regla general. Entre ellas es interesante resaltar dos casos en los que esta prohibición no es aplicable:
– Cuando el tratamiento cuente con el consentimiento expreso del interesado.
– Cuando el tratamiento sea necesario «para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento (…) en el ámbito del Derecho laboral«.
Podría pensarse que lo más sencillo para poder implementar sistemas de vigilancia biométrica sería solicitar por escrito el consentimiento de los empleados. Sin embargo, esto plantea dos graves problemas:
– ¿Qué pasa con los empleados que se nieguen a ofrecer dicho consentimiento? (imagínese la intervención del Sindicato del sector recomendando a sus sindicados que no lo presten).
– El Grupo de Trabajo del Artículo 29 (GT29, en la actualidad Comité Europeo de Protección de Datos o CEPD) desde hace tiempo dictaminó que la relación entre trabajadores y empleadores no es igualitaria, de manera que el consentimiento prestado por los primeros podría no considerarse totalmente libre.
Es más conveniente, por tanto, hacer uso del segundo mecanismo. Porque resulta que, además, el Derecho español ya prevé y acepta la posibilidad de realizar este tipo de controles biométricos.
Obligaciones adicionales en el RGPD:
No obstante, el RGPD prevé una serie de obligaciones adicionales para los responsables que usen estos mecanismos.
En primer lugar, el RGPD exige aplicar siempre el principio de «minimización de datos» (tener la menor cantidad de datos posible). Al usar un sistema biométrico sería recomendable hacer una ponderación de si esa medida es proporcional y adecuada, o si existe algún otro medio que permita conseguir el mismo fin. Y el propio Reglamento nos ofrece la manera de realizar esa ponderación: a través de una Evaluación de Impacto relativa a la Protección de Datos (en adelante, EIPD).
Simplificando, la EIPD no es otra cosa que una evaluación de riesgos más centrada en la protección de datos. La EIPD no siempre es obligatoria, pero el GT29 dictaminó que pasaba a serlo, entre otros casos, cuando se aplicara a «datos relativos a sujetos vulnerables». Y en esta categoría incluyó de forma expresa a los trabajadores. Por tanto, sería obligatorio hacer una EIPD con cualquier tratamiento nuevo que afecte a los datos de los empleados; y un sistema de acceso biométrico lo es.
Además de ello, deberían implementarse medidas de seguridad adecuadas para el tipo de datos que se está tratando (cifrado de la información, control de accesos al sistema, etc.). Esto también implica conocer las obligaciones relativas a las violaciones de seguridad de los datos, que tienen en el RGPD un procedimiento de respuesta muy específico. Y por supuesto, los afectados deben ser conscientes de la existencia de este tipo de tratamiento y de cuáles son sus derechos al respecto. Si además resulta que el sistema lo gestionan terceros, deberán cumplir las obligaciones relativas a los encargados de tratamiento.
Resumiendo, si bien es posible utilizar mecanismos de identificación biométrica, los mismos deberán llevarse a cabo con las garantías que exige el RGPD, toda vez que, en caso contrario, la empresa estará cometiendo una infracción que podría ser sancionada.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales