El Control De Presencia Mediante El Uso De Sistemas De Biometría | Fieldfisher
Skip to main content
Select location Spain (ES)
  • Actualidad
  • El Control De Presencia Mediante El Uso De Sistemas De Biometría
Insight

El Control De Presencia Mediante El Uso De Sistemas De Biometría

Carlos Pérez Sanz, Talmac Bel & Sonia Gracia
05/12/2023

Locations

Fieldfisher España

La Agencia Española de Protección de Datos («AEPD») decidió finalizar el mes de noviembre intentando sentar cátedra con una guía sobre un tema que nunca ha estado exento de debate: los tratamientos de datos personales para fines de control de presencia, mediante el uso de sistemas biométricos; sistemas que -casi siempre- han sido un caramelo envenenado para las personas profesionales del sector y las organizaciones que han querido implementarlos.

En esta guía («la Guía»), la AEPD ha pretendido fijar «los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que tenerse en cuenta para que un tratamiento de datos personales que utilice esa tecnología cumpla con el Reglamento General de Protección de Datos (RGPD) entre otras normativas», reformulando y aclarando algunas recomendaciones ya publicadas con anterioridad por la propia Agencia.

Prohibición general del tratamiento de datos biométricos

El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datosRGPD») establece, con carácter general, la prohibición del tratamiento de datos personales de categoría especial, entre los que se encuentran los datos biométricos cuando pueden identificar de manera unívoca a una persona física.

Hasta mayo de 2022 y la publicación por el Comité Europeo de Protección de Datos («CEPD») de una de sus directrices, no había una posición definida, a nivel europeo, relativa a si los sistemas de biometría que utilizaban funciones de identificación o de autenticación trataban datos personales biométricos de categoría especial, o no, o si únicamente una de estas funciones (la identificación) lo hacía.

Por poner un ejemplo, la AEPD y la Autoridad Catalana de Protección de Datos («APDCAT») partían de posturas totalmente opuestas, indicando la primera que solo en los supuestos de identificación biométrica habría tratamiento de datos biométricos de categoría especial, y la segunda que, tanto para identificar como para autenticar, estos tendrían la consideración de datos pertenecientes a la categoría de especiales.

El CEPD concluyó en mayo de 2022 que, indistintamente de si se trataban datos personales biométricos mediante funciones de autenticación o identificación, este tratamiento siempre va a considerarse como de categoría especial y, por consiguiente, prohibido, por regla general.

La AEPD, en la Guía, asume e interioriza el criterio del CEPD, por lo que entra a valorar qué base legitimadora, de entre las definidas en el artículo 9.2 del RGPD, podrían concurrir para justificar el levantamiento de la prohibición del tratamiento de categorías especiales de datos, en aquellos supuestos de control de presencia empleando sistemas de biometría.

Consentimiento explícito de las personas interesadas

El RGPD permite que pueda levantarse la prohibición del tratamiento de datos de categoría especial, si existe consentimiento explícito de las personas cuyos datos se van a tratar.

Para el caso del uso de datos biométricos como medio de control de presencia, la AEPD es clara, al respecto: el consentimiento no puede aplicar al uso de datos biométricos, por dos motivos: el primero es que,  en el ámbito laboral, siempre va a existir el desequilibrio propio derivado de la relación del personal empleado y empleador, lo que no permitiría que el consentimiento fuese libremente otorgado; el segundo motivo es que no superaría la evaluación de la necesidad del uso de datos biométricos, establecida en el artículo 35.7.b del RGPD, el cual, establece que el tratamiento objeto de evaluación es necesario y proporcional con respecto a la finalidad, al ser considerado por la AEPD como un tratamiento adicional de datos de alto riesgo, habida cuenta de que,  siempre existirían opciones equivalentes y disponibles (como el uso de tarjetas, por ejemplo) para el cumplimiento de esta finalidad del tratamiento, lo cual desvirtuaría completamente la necesidad de implementación de un sistema de biometría.

¿Qué otra alternativa ofrece el RGPD -y la AEPD-, si parece que no es viable ampararse en el consentimiento explícito?

Cumplimiento de obligaciones o ejercicio de derechos en el ámbito del Derecho laboral y de la seguridad y protección social

La AEPD desgrana tres elementos clave de la segunda circunstancia del artículo 9.2 del RGPD: que el tratamiento sea (i) necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así (ii) lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo (…) (iii) que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

Previo a la publicación de la Guía, la AEPD valoraba que este tipo de tratamientos se podían legitimar por la existencia de algunas disposiciones plasmadas en el Estatuto de los Trabajadores, tanto para el control de acceso, como para el control horario o de presencia, y así lo reflejaba en su guía de mayo de 2021 “La protección de datos en las relaciones laborales”.

No obstante, rectifica basándose en dos sentencias del Tribunal Constitucional y dos dictámenes de la APDCAT (2/2022) y del Consejo de Transparencia y Protección de Datos de Andalucía («CTPD Andalucía») (1/2023).  

¿Cuál es el nuevo criterio de la AEPD? «En la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo». En consecuencia, al no haber una norma europea o española que recoja expresa y específicamente el control de presencia mediante el uso de sistemas de biometría, estos tratamientos no podrían efectuarse.

Empleando el mismo argumento que el relativo al consentimiento y la necesidad de este tipo de sistemas, la AEPD insiste en que la biometría nunca será un medio de control necesario o idóneo mientras existan métodos menos invasivos y más garantes para con la privacidad de las personas interesadas.

¿Cómo lo valoran otras autoridades de protección de datos?

Tal y como se ha descrito, la AEPD es muy clara al respecto; ni consentimiento, ni previsión legal.

En contraposición al nuevo juicio de la autoridad española, la APDCAT y el CTPD Andalucía, en los dictámenes anteriormente referenciados, sí valoran el consentimiento explícito de las personas interesadas como una circunstancia que levante la prohibición del tratamiento de datos biométricos para el control de presencia.

La ADPCAT considera que «podría considerarse que existe consentimiento libre si el interesado dispone de una alternativa para cumplir con el control horario o controlar su presencia o ejecución del horario, siendo éste quien elige y presta su consentimiento al tratamiento de sus datos biométricos a través de sistemas de reconocimiento facial».

Por su parte, el CTPD Andalucía interpreta que «el levantamiento de la prohibición basada en la concurrencia de la circunstancia del consentimiento explícito del interesado prevista en el artículo 9.2.a), debe analizarse con cautela ante la situación de desequilibrio (…). Podría considerarse únicamente si se dispone de una alternativa de libre elección para cumplir el control horario o de presencia y si el consentimiento es informado, inequívoco y demostrable por el responsable del tratamiento».

Internacionalmente, la ICO (la autoridad de protección de datos del Reino Unido) también establece que, en la mayoría de los casos, es probable que el consentimiento explícito sea la única circunstancia válida para el tratamiento de datos biométricos de categoría especial, siempre y cuando se ofrezca a las personas interesadas una alternativa adecuada.

Consideraciones finales que tener en cuenta: soluciones y alternativas

  1. Actual posición de la AEPD

A la luz de la posición de la AEPD en su última guía., la autoridad española estima ahora que:

  • Tanto las funciones de identificación como las de autenticación, mediante sistemas de biometría, constituyen tratamientos de datos personales de categoría especial, por lo que habría que encontrar una circunstancia del artículo 9 del RGPD que levante la prohibición general del tratamiento;
  • Dado que, en el ordenamiento jurídico europeo y español, no existe una norma que contenga una autorización específica para considerar necesario el tratamiento de estos datos, para finalidades de control horario de la jornada de trabajo, la única vía, por el momento, para poderlos tratar en el ámbito laboral, es la de negociarlo y recogerlo en un convenio colectivo;
  • En cuanto al consentimiento, tampoco resultaría de aplicación: en el ámbito laboral se da el desequilibrio de poder típico entre personas empleadas y empleador, lo cual lo hace especialmente difícil de implementar y, para cualquier ámbito, es complicado que supere el juicio de necesidad y de proporcionalidad, al existir fórmulas menos invasivas para cumplir con la finalidad prevista;
  • Se hace conveniente que las organizaciones que tengan implementados sistemas de biometría para el control de presencia vuelvan a evaluar su necesidad e idoneidad.
  1. Soluciones y alternativas

Sin embargo, pese a todo lo anterior, y a la espera de que el legislador decida regular los controles de presencia mediante la implementación de sistemas de biometría, las organizaciones que dispongan de este tipo de sistemas disponen de una serie de medidas a implementar para intentar justificar que la elección de estos cumple con la exigencias normativas:

  • La primera de ellas es la actualización o realización de las evaluaciones de impacto relativas a el tratamiento de datos biométricos para le control de presencia o el fichaje. En estas evaluaciones de impacto será crucial poder justificar que se cumple con el artículo 35.7.b del RGPD. En algunos contextos especiales, podría considerarse la biometría como plenamente necesaria y justificable por eficiencia operativa, o por motivos de seguridad, ya que los métodos alternativos son transferibles y hay un mayor riesgo de suplantación de identidad que determinadas organizaciones no pueden permitirse el lujo de asumir.

 

  • Como queda dicho, existen interpretaciones de otras autoridades de control que confirman la validez del consentimiento explícito como circunstancia justificadora del tratamiento de datos biométricos. Por lo tanto, éste se debería solicitar cumpliendo con los requisitos y garantías establecidas por dichas autoridades, lo cual, llevaría a una revisión de los consentimientos ya solicitados. Por ejemplo, que las organizaciones ofrezcan, de forma real y efectiva, sistemas alternativos al uso de control biométrico, y si dichos sistemas pueden ser efectivamente escogidos de forma libre por sus empleados y colaboradores, con plena información sobre los riesgos asociados al tratamiento de datos biométricos, y sin que la elección del sistema de control no biométrico suponga discriminación alguna para quien libremente lo escoja.

 

  • Por último, a través de estas guías el regulador fija su posición respecto a su interpretación de la norma, la cual, en el futuro podría variar a raíz de la jurisprudencia de la Audiencia Nacional, de otras autoridades o incluso a través de resoluciones de la propia AEPD, tal y como, ocurrió con la propia interpretación de la categoría de dato biométrico como dato de categoría especial.

En cualquier caso, las organizaciones que opten por mantener sus sistemas de control biométrico deberán tener en cuenta que se estarán enfrentando a la posición oficial del regulador, con el consiguiente riesgo de tener que afrontar posibles procedimientos sancionadores.

Caso de optar por no seguir la posición del regulador, en las evaluaciones de impacto que necesariamente deberán llevar a cabo, deberán identificar los medios de prueba necesarios que les permitan aportar una sólida defensa ante la posición de la AEPD. Y deberán ser conscientes de que dicha defensa, con toda probabilidad, hará necesario recurrir a los tribunales de justicia las eventuales sanciones que la AEPD pueda llegar eventualmente a emitir en relación con el tratamiento de datos mediante sistemas de control biométrico.

Agradecimientos a Adrián Nieto, abogado del departamento de Tech & Data, por su colaboración en este artículo.

Sign up to our email digest

Click to subscribe or manage your email preferences.

SUBSCRIBE