Utilización datos biométricos para control de presencia y acceso

La AEPD ha publicado la Guía de Tratamientos de control de presencia mediante sistemas biométricos.

La guía establece las pautas a regir en la utilización de datos biométricos para el control de presencia y acceso para el fichaje y control laboral. Media que debe llevar a cabo la empresa y/o autónomo, con empleados a su cargo, según lo dispuesto en el art. 34 del texto refundido de la Ley del Estatuto de los Trabajadores:

“La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo. Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de presencia. La empresa conservará los registros a que se refiere este precepto durante cuatro años y permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social” y para controlar el cumplimiento, el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control.

Si el empresario se decide por la implantación de un control de presencia por medio de un sistema biométrico de identificación/autenticación del empleado, deberá realizar una evaluación objetiva, sobre dicho sistema: si, por ejemplo, se están recogiendo datos excesivos para la finalidad del tratamiento, ya que los datos obtenidos a través de los sistemas biométricos podrían usarse no solo para el control presencia. Habrá que establecer también una evaluación sobre la medida a aplicar, para comprobar si realmente es posible “levantar” la prohibición del tratamiento de datos de “categorías especiales”. La superación positiva de una Evaluación de Impacto para la Protección de Datos (EIPD) sobre la idoneidad, necesidad y proporcionalidad del tratamiento, es totalmente necesaria para la implantación del sistema.

En Cuevas y Martínez Asesores, os hacemos un breve resumen de lo marcado por esta guía para que en caso que estéis valorando aplicar sistemas biométricos en vuestro control presencial y de fichaje, podáis decidir si la utilización de datos biométricos para el control de presencia y acceso es válido para vuestra operativa o no.

Según el Art. 4.14 del RGPD se tratan de “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

El LEVANTAMIENTO DE LA PROHIBICIÓN DEL TRATAMIENTO DE DATOS BIOMÉTRICOS es totalmente necesario para el uso de estos sistemas biométricos. Si no existe una causa que valide ese tratamiento, aunque se tenga una base jurídica perfectamente válida para él, al no haberse levantado la prohibición se invalida el tratamiento.

En el art. 9 del RGPD, apartado 2, letra b), se levanta la prohibición del tratamiento de categorías especiales de datos cuando

“el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.

Es decir, debe existir una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad. Actualmente no existe en la normativa legal española.

Si se tiene base jurídica para el tratamiento, se ha superado positivamente el levantamiento de la prohibición y se ha cumplido con la EIPD, solo queda fijarnos en que el sistema cumpla con la obligación de establecer las medidas de seguridad necesarias desde el diseño.

Conoce las últimas directrices marcadas por la AEPD.