Con la entrada en vigor del R.D. 8/2019, de 8 de marzo, de medidas urgentes de protección social y lucha contra la precariedad laboral en la jornada de trabajo, por el que se modificó el artículo 34.9 del Estatuto de los Trabajadores, se generalizó, desde mayo de 2019, la obligación de realizar un registro efectivo de la jornada diaria de trabajo de todos los trabajadores de cualquier empresa u organización, que hasta ese momento solo aplicaba los trabajadores que prestaban sus servicios a tiempo parcial (Art. 12.4 del ET).
Ante esta situación, la mayor parte de las empresas y organizaciones obligadas por esta nueva normativa, tuvieron que optar por implantar algún sistema de control horario que permitiese cumplir con esta obligación y que, a su vez, fuese cómodo y sencillo de utilizar a nivel interno.
Obligación del control horario
Debido a que la normativa no establece ningún tipo de modalidad específica o predeterminada para el registro diario de la jornada, cada organización, en función, principalmente, de su tamaño, dimensión o complejidad interna para poder acreditar el cumplimiento de esta obligación, ha elegido la modalidad de registro horario que más se ajustaba a su funcionamiento y cultura interna, de ahí que haya sistemas de control horario que se llevan en plantillas en formato papel, otros sistemas que utilizan tarjetas de proximidad o aplicaciones informáticas que geolocalizan a los trabajadores en el momento de realizar el fichaje y, por supuesto, sistemas de control horario que utilizan biometría para llevar el registro de la jornada laboral de su plantilla.
Las organizaciones y empresas que han optado por utilizar sistemas biométricos en 2019, principalmente mediante la utilización de la huella dactilar de sus trabajadores, se han encontrado en una situación legal algo más compleja que en los casos que han elegido otras modalidades de control horario. Vamos a explicar el porqué de esta situación.
Biometría y protección de datos
En mayo del año 2018, con la entrada en aplicación del Reglamento Europeo de Protección de Datos (RGPD), el legislador europeo consideró los datos biométricos como datos de categorías especiales (Art. 9 RGPD), en la práctica, esto venía a suponer que este tipo de datos pasaba a tener una protección similar a otros datos de categorías especiales como son, por ejemplo, los datos de salud, datos de ideología o datos de religión; lo que para las empresas y organizaciones que se decidieron a utilizar este tipo de datos para realizar el control horario de sus trabajadores implicaba un escenario legal más complejo, especialmente desde la perspectiva de la protección de datos, del que había antes de la entrada en aplicación del RGPD, para poder utilizar estos datos personales de sus trabajadores para la finalidad de realizar el control horario obligatorio.
Una vez aclarada esta información inicial sobre sistemas biométricos, a nivel práctico y de aplicación de los requisitos legales que tanto la normativa laboral como la de protección de datos pueden imponer para estos sistemas, durante los últimos años se ha establecido un debate sobre estos sistemas biométricos, especialmente en la diferenciación de si se trataba de un sistema de identificación de usuarios, lo que se denominaría “Uno a varios”, o un sistema de verificación (autenticación) de usuarios, lo que sería un sistema “Uno a Uno”, ya que en el primer caso se consideraría el dato biométrico como un dato de categoría especial en los términos previstos en el artículo 9 del RGPD con todas las implicaciones legales que esto tendría para la organización, mientras que si el sistema se tratase de un sistema de verificación/autenticación, el dato biométrico perdería su condición de categoría especial y, desde un punto de vista práctico, las obligaciones de protección de datos se simplificarían en gran medida para las organizaciones.
Esta distinción entre sistemas de identificación y de verificación/autenticación biométrica se ha recogido en los últimos años en diversos informes, resoluciones y dictámenes tanto de las autoridades europeas de protección de datos, como de la autoridad española, como por ejemplo el Informe 2020/0036 de la AEPD, en el que se fijan ciertos criterios legales a tener en cuenta en el uso de la biometría, siendo especialmente importante y relevante el requisito de que, en los casos de sistemas de identificación biométrica (“Uno a varios”), en los que el dato biométrico conservaría su condición de dato de categoría especial, se haya efectuado una evaluación de impacto de protección de datos (EIPD), en los términos previstos en el artículo 35 del RGPD, de manera previa a su puesta en funcionamiento, y cumplir con lo dispuesto en los artículos 6 y 9 del RGPD.
A pesar de esto, tratándose de una materia legal con tantos matices e interpretaciones como es la normativa de protección de datos, muchas veces, en la práctica llega a resultar muy complicado para los responsables de tratamiento de estos sistemas de información determinar qué sistema de biometría tenían implantado en sus organizaciones, ya que los fabricantes de hardware y software implicados, en muchos casos, no facilitan la configuración de estos sistemas o no se consigue determinar qué sistema biométrico se está empleando realmente, lo que implicaría que a efectos prácticos habría que realizar una valoración caso a caso y ante la duda se debería optar por la opción más protectora con los derechos y libertades de los interesados, que en este caso sería considerar los datos biométricos empleados como de categoría especial y realizar la preceptiva EIPD, además de cumplir con el resto de requisitos legales exigibles.
Situación legal actual de la biometría
En la actualidad, especialmente desde el año 2022, con la publicación por parte del Comité Europeo de Protección de Datos (CEPD) de su Directriz 5/2022, que se encuentra pendiente de adopción definitiva, se eliminaría la distinción entre la identificación biométrica y la verificación/autenticación biométrica, entendiéndose que en ambos supuestos los datos biométricos tratados implicarían el tratamiento de datos de categorías especiales.
Un criterio que la AEPD ya ha tomado en consideración en su informe 2022/0098, avisando de que en el caso de que la directriz del Comité Europeo de Protección de Datos se adopte sin modificaciones respecto de la consideración que tendrían ahora mismo los sistemas biométricos de identificación y los sistemas biométricos de verificación/autenticación, la utilización de cualquier dato biométrico implicará su consideración como dato de categoría especial, debiendo tenerse en cuenta, para realizar su tratamiento de manera correcta, tanto las bases legales del artículo 6 del RGPD que puedan aplicarse a este tratamiento, como las excepciones para el tratamiento de este tipo de datos del artículo 9 del RGPD que levanten la prohibición de su uso, además de, por supuesto, la preceptiva EIPD previa del artículo 35 del RGPD, cuya ausencia está siendo sancionada ya por la AEPD en diversas resoluciones publicadas recientemente.
Tal y como se ha podido comprobar en los procedimientos sancionadores PS/00441/2021, PS/2108/2021 o PS/ 00052/2021 en los que se sancionan a varios responsables de tratamiento por el empleo de datos biométricos para realizar el control horario obligatorio sin haber realizado previamente la preceptiva EIPD del artículo 35 del RGPD o no cumplir con alguna de las excepciones previstas en el artículo 9.2 del RGPD.
En resumen, este cambio de criterio de las autoridades de protección de datos se trata de un aviso a navegantes dirigido a todas las organizaciones y empresas que ha implantado este tipo de sistemas biométricos para cumplir con sus obligaciones de control y registro de la jornada efectiva de sus trabajadores, pero no han tenido en cuenta la parte de protección de datos, que deberán regularizar lo antes posible, para evitar ser sancionadas por un uso indebido de este tipo de datos personales, tal y como hemos podido comprobar en los procedimientos sancionadores comentados en el párrafo anterior.
Entonces, ¿en qué afecta todo este embrollo legal de protección de datos al sistema de control horario con huella de mi organización?
A modo de resumen, nuestra recomendación es que cualquier organización o empresa que utilice este tipo de sistemas de control horario con biometría deberán verificar y analizar, si quieren evitar posibles sanciones, que se cumplen los siguientes requisitos legales en sus sistemas de control horario mediante biometría:
- Disponer de una base de legitimación para el tratamiento de estos datos, de las que aparecen recogidas en el artículo 6 del RGPD.
- Además, poder llevar a cabo de manera legal este tratamiento se deberá encajar el tratamiento de los datos biométricos en alguna de las excepciones previstas en el artículo 9.2 del RGPD.
- Informar a los interesados (trabajadores/as) acerca del uso de sus datos biométricos, en los términos previstos en el artículo 13 del RGPD.
- Realizar de manera previa una evaluación de impacto de protección de datos (EIPD) en los términos previstos en el artículo 35 del RGPD
Desde el área LegalTech de Softwariza3 disponemos de un equipo de consultores especializados en Derecho TIC, con amplia experiencia en asesorar a las empresas y organizaciones en cómo implantar este tipo de sistemas de control horario mediante el uso de datos biométricos para evitar sanciones y que permitan cumplir tanto con la normativa laboral, como con la normativa de protección de datos aplicable. Si tienes cualquier duda al respecto no dudes en contactarnos para ayudarte a cumplir con estas exigencias legales y evitar exponerte a posibles sanciones.
