El uso de la huella digital como método para registrar la jornada laboral ha sido una práctica común en algunas empresas. Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos, esta técnica se enfrenta a importantes restricciones por el tratamiento de datos biométricos. Las empresas deben cumplir con estrictos requisitos y medidas de seguridad para seguir utilizando este tipo de sistemas, de lo contrario, se exponen a sanciones económicas. A continuación analizamos la regulación y las condiciones bajo las cuales se permite este método a partir de la pregunta de un trabajador: "Me gustaría hacer una consulta sobre la legalidad de utilizar la huella digital como método para fichar en la entrada y salida del puesto de trabajo".
Obligación de garantizar el registro diario de la jornada
El art. 34.9 del Estatuto de los Trabajadores (ET) impone a las empresas la obligación de garantizar el registro diario de la jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora. Asimismo, el art. 20.3 del ET faculta al empresario a adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador/a de sus obligaciones y deberes laborales (entre los que se encuentra el cumplimiento de la jornada pactada), guardando en su adopción y aplicación la consideración debida a su dignidad.
Debemos partir, por tanto, de que existe obligación legal de registrar la jornada de trabajo. Ahora bien, el art. 34.9 del ET no impone cómo se ha de organizar y documentar el registro de jornada, sino que remite a lo acordado en negociación colectiva o acuerdo de empresa y, en su defecto, a la decisión del empresario adoptada previa consulta con los representantes legales de los trabajadores. Es decir, en los casos en que existe convenio colectivo o acuerdo con los representantes de los trabajadores, la empresa puede determinar (previa consulta de éstos) qué método de fichaje (apps, tarjetas, contraseñas, uso de datos biométricos, etc.) deben emplear sus trabajadores/as.
¿Qué son los datos biométricos?
Los datos biométricos son datos personales relativos a las características físicas, fisiológicas o conductuales de una persona física, que permitan o confirmen la identificación de la misma, como sucede con la huella dactilar o el reconocimiento facial. La utilización de estos datos biométricos del trabajador/a puede afectar a sus derechos fundamentales, como sucede con el derecho a la intimidad (art. 18 Constitución española).
Hasta hace poco tiempo, algunas empresas registraban la jornada de sus empleados utilizando sistemas de identificación de datos biométricos del trabajador/a, siendo esta práctica habitualmente autorizada por nuestros tribunales (entre otras, Sentencia del Tribunal Supremo, Sala Tercera, de 2/07/2007, rec. 5017/2003; ECLI:ES:TS:2007:5200).
El tratamiento de los datos biométricos del RGPD
Sin embargo, a raíz de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) -Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos - y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD); se ha endurecido mucho más la regulación y existen importantes trabas para que las empresas puedan seguir haciendo uso de los datos biométricos de las personas trabajadoras en el control o registro de la jornada de trabajo.
De conformidad con el RGPD, la utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo, al incluir datos que tienen la condición de “categoría especial”. Debido a esta categoría especial, ya no se puede justificar la recogida datos biométricos para registrar la jornada, debiendo acudirse otras medidas menos intrusivas; con la sola excepción de los supuestos contemplados en el art. 9.2 del RGPD, como pueden ser el interés público, sanitario, de seguridad, etc.
Es decir, para la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales.
Así, resulta obligatoria la superación favorable, previa al inicio del tratamiento de datos biométricos, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de los datos biométricos.
Una vez superados todos los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas de identificación o autenticación, deben implementarse garantías organizativas, técnicas y jurídicas. En particular, han de estar presentes, al menos, las siguientes medidas por defecto:
- Información a los trabajadores sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no ha posibilidad de revelar categorías especiales de datos adicionales.
- En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el art. 91 de la LOPD.
La reciente directriz del Comité Europeo de Protección de Datos de 23 de noviembre de 2023, ha señalado que el uso de datos biométricos, como la huella dactilar o el reconocimiento facial, queda prohibido como método de fichar en el ámbito laboral de forma generalizada, salvo en situaciones específicas contempladas en el Reglamento General de Protección de Datos (RGPD).
A raíz de ello, la Agencia Española de Protección de Datos (AEPD), ha modificado la “GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS”, para adecuarse a los nuevos estándares europeos, lo que implica que las empresas que sigan utilizando datos biométricos de los trabajadores en el registro de jornada, podrían enfrentarse a sanciones, con independencia de la legalidad que pudieran haber tenido en el momento de su instalación. Esta Guía de la AEPD puede descargarse en el siguiente enlace: guia sobre control de presencia mediante sistemas biometricos.
Sanciones
Como consecuencia de ello, las empresas se enfrentan a fuertes sanciones económicas en caso de incumplimiento de las nuevas directrices. Así, la AEPD ha comenzado a sancionar a aquellas empresas que no cumplen con las recomendaciones y ha llegado a imponer una multa de 365.000 euros a una empresa por utilizar la huella dactilar de sus empleados para fichar, sin adoptar las medidas de seguridad adecuadas, así como por la falta de información a los trabajadores y ausencia de un análisis de riesgos.
Si quieres información más detallada sobre este tema, te recomendamos que te dirijas a cualquiera de nuestras sedes, puedes localizarlas en www.ugt.es/sedes.
