Sobre la legalidad del control de horario a través de huella digital o reconocimiento facial

La evolución de las nuevas tecnologías y la aplicación cotidiana de la Inteligencia Artificial en determinadas rutinas hace que cada vez sea mayor el celo legislativo en la protección de la identidad y la intimidad de los ciudadanos. Esto ha motivado que algunas cuestiones, o no reguladas o permitidas hasta ahora, se conviertan en claramente ilegales o excepcionales. Así ha ocurrido con el control horario en miles de empresas que utilizan sistemas electrónicos de reconocimiento de la huella digital o del rostro.

La directriz del Comité Europeo de Protección de Datos (CEPD) es muy clara y entiende que con la evolución tecnológica es necesario establecer mayores controles en el control de datos, en este caso físicos, de los ciudadanos tanto para la autentificación como para la identificación en base a elementos biométricos de la persona. La conclusión es que al determinar que los datos biométricos pasan a considerarse “categoría especial” en la última directriz del CEPD, ya no pueden utilizarse para acciones rutinarias como la vigilancia del cumplimiento de las horas de trabajo.

Esta directriz europea es lo que ha motivado a la Agencia Española de Protección de Datos (AEPD) a realizar una nueva “Guía sobre tratamiento de control de presencia mediante sistemas biométricos” el pasado mes de noviembre. A efectos prácticos, controlar a un trabajador por reconocimiento de huellas o facial puede ser sancionado si se produce una denuncia al respecto ante la AEPD.

Y todo ello en base a la consideración de los datos biométricos como «una intromisión grave” de las garantías ciudadanas recogidas en la Carta de Derechos Fundamentales de la Unión Europea.

Esta postura contradice la sentencia del Tribunal Supremo, dictada en 2007, quien reconocía estos sistemas como herramienta permitida para el control de la asistencia del trabajador y el cumplimiento de su horario. Además, el mismo Real Decreto 2/2015 consideraba necesario establecer sistemas de control de horario como una obligación al empresario y una garantía para el trabajador en la medida en que no se abusaba de las horas extras. La normativa actual supera estos criterios.

Todo ello porque la nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos estima que “se han producido cambios en el contexto normativo, social y tecnológico, incluso en un período corto y cercano, que hace necesario plantearse los límites al tratamiento de datos biométricos y las medidas que han de establecerse para que un tratamiento de datos personales que decida utilizar sistemas biométricos garantice el cumplimiento del RGPD, o de otras normativas que incidan en estos sistemas, en el caso de basarse en técnicas de inteligencia artificial, como el futuro Reglamento Europeo sobre Inteligencia Artificial”.

A la vista de estas circunstancias, la AEPD considera que “la utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo que incluye categorías especiales de datos”, lo que a efectos prácticos constriñe su uso y lo limita excepto a determinadas circunstancias.

La propia Agencia recuerda que ya el artículo 9.2 del Reglamento General de Datos marcaba ciertas restricciones en su uso. Este artículo apunta a que “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, (…) y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física (…). El nuevo criterio de la AEPD establece que para solventar esta cuestión deberá responder a necesidades de seguridad o interés público, en ningún caso para rutinas de control de acceso o fichaje horario.

Ni siquiera en el supuesto de que el interesado consintiera expresamente la implementación de un tratamiento de registro de jornada con técnicas biométricas, dejaría de estar vigente la prohibición de tal tratamiento, pues existiendo alternativas, que permiten desarrollar el control de registro horario, e implican un menor riesgo para los derechos y libertades de las personas cuyos datos se van a tratar, deja de ser necesario el procesamiento de datos biométricos, por lo qué, si pese a ello se utilizara, dejaría de cumplirse con lo establecido en el artículo 5 del Reglamento General de Protección de Datos.

TE PUEDE INTERESAR...

La nueva subida del Salario Mínimo Interprofesional en 2024

El Gobierno ha anunciado una subida del Salario Mínimo Interprofesional (SMI) del 5% con carácter retroactivo y entrada en vigor a partir del pasado 1 de enero de 2024. Esta decisión se ha tomado en contra de las organizaciones patronales CEOE y CEPYME que han manifestado su oposición a la […]

Nuevas y viejas normas para sobrevivir a la ITV laboral 2024

Con el nuevo año, vuelven las complejas obligaciones a cumplir ante la Administración laboral, que cada año suma nuevas exigencias a las ya existentes en el ejercicio anterior. Así pues, dominar todas la normas y requisitos es esencial para solventar las condiciones que debe ir superando cualquier empresa en estos […]