Las empresas que llevan a cabo el control horario de empleados por huella dactilar pueden verse afectadas por la entrada en vigor del nuevo RGPD a partir del próximo 25 de Mayo.
Hemos recibido numerosas consultas relativas al uso de la huella dactilar (o “huella digital”) para controlar la entrada y salida de los trabajadores de las instalaciones de la empresa.
Son muchas las entidades que han implantado esta medida de control creyendo que están absolutamente legitimadas para ello, sin conocer las consecuencias jurídicas de su implantación.
A través de este post, queremos despejar las dudas relativas a este medio de control puesto que NO siempre va a ser lícito y es conveniente tener en cuenta lo siguiente: ¿para qué sirve tener este medio de control si es ilícito, posiblemente no va a poder ser utilizarlo como medio de prueba en caso de despido y, además, le pueden sancionar por ello?
A) Normativa y jurisprudencia actual sobre la huella dactilar
Partimos de que la Agencia Española de Protección de Datos (AEPD), ha señalado que las huellas digitales son datos biométricos que permiten la identificación de las personas físicas e incluso conocer ciertos aspectos de su personalidad y conducta.
Dada esa posibilidad de identificación, se consideran datos de carácter personal y es obligatorio cumplir la normativa de protección de datos.
Conforme a la actual LOPD, el empresario está legitimado para el tratamiento de datos personales de sus trabajadores, sin necesidad de solicitar su consentimiento, cuando sean necesarios para el mantenimiento o cumplimiento de la relación laboral que les une.
Pero no en cualquier caso.
A la hora de decidir si es necesario adoptar una medida concreta de control que comporte un tratamiento de datos personales de los trabajadores, como puede ser el control de acceso por huella digital, debe aplicarse el principio de “proporcionalidad” en relación a la finalidad buscada (que es el control del cumplimiento de las obligaciones y deberes del trabajador).
El principal motivo es que el empresario no está amparado para ejercer las facultades de vigilancia y control que desee, pues sus facultades empresariales también están limitadas por el respeto a los derechos fundamentales del trabajador, y muy especialmente el derecho constitucional a su intimidad personal.
Para saber si es proporcional dicha medida de control, la jurisprudencia entiende que es necesario que cumpla tres requisitos: que sea idónea, necesaria, proporcional o equilibrada.
Es decir, antes de instalar un control de acceso con huella dactilar, la empresa debe preguntarse si es proporcional a la finalidad buscada o si existen otros medios menos intrusivos para los derechos y libertades de sus trabajadores, que sean adecuados y pertinentes para la finalidad perseguida.
Por ejemplo, en este caso, pueden existir otras medidas menos intrusivas que la huella dactilar como, por ejemplo, un registro de firmas de los trabajadores a la entrada y salida de la organización o la utilización de tarjetas electrónicas que registren la entrada y salida de los mismos.
¿Qué entiende la AEPD y la jurisprudencia en relación a la huella dactilar?
Conforme a AEPD y a la jurisprudencia actual, en el tratamiento de la huella digital de los trabajadores, cuando la información que se recaba no contiene datos concretos de la personalidad del trabajador o de su comportamiento, sino que solamente vincula la identidad de una persona para identificarla, es lícito establecer un sistema de control de acceso con huella digital puesto que el dato que se recaba no tiene mayor trascendencia que un número o ficha personal.
También inciden en que, aunque no sea necesario el consentimiento de los trabajadores para el tratamiento, éstos deben estar debidamente informados, especialmente de la finalidad de los datos biométricos recabados y de las consecuencias disciplinarias que implica su negativa a que la huella sea tratada.
Asimismo, las autoridades de control han señalado que, de ser posible, deben instalarse preferentemente sistemas de reconocimiento de huella dactilar que permitan que los medios de verificación (algoritmo de la huella dactilar del trabajador) permanezcan en poder de los afectados, sin ser incorporados al sistema informático de la empresa, por tratarse de medios más proporcionales.
B) ¿Qué ocurre a partir del 25 de mayo con la huella dactilar?
El nuevo RGPD eleva los datos biométricos a la categoría especial de datos personales y, de entrada, establece la prohibición del tratamiento de este tipo de datos personales.
Sin embargo, establece que no estará prohibido su tratamiento, entre otros supuestos, cuando “es necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas respecto de los derechos fundamentales y de los intereses del interesado” (art. 9.2 b) del RGPD).
De la lectura del precepto, y sin perjuicio de la postura que adopte la AEPD y nuestros Tribunales tras el 25 de mayo, parece que el RGPD contempla la posibilidad de tratar datos biométricos en el ámbito laboral, siempre y cuando se cumplan los principios y limitaciones establecidos en el mismo.
Por tanto, como ocurre con la LOPD, habrá que analizar cada supuesto para concluir sobre la licitud del tratamiento de dichos datos.
En cuanto al consentimiento, el RGPD no obliga a obtener el consentimiento del trabajador si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por la empresa, siempre que sobre sus intereses no prevalezcan los intereses o los derechos y libertades de los trabajadores que requieran la protección de datos personales.
Finalmente, conviene tener en cuenta que el hecho de tratar datos especiales conlleva más obligaciones para el empresario en relación a las medidas técnicas y organizativas necesarias a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (tales como la conversión de la huella a su algoritmo o el cifrado de la información), así como la obligación, en su caso, de realizar una evaluación del impacto de las operaciones de tratamiento de datos biométricos en la protección de datos personales.
Si desea más información sobre el RGPD, puede consultar aquí el contenido.
Si tiene dudas al respecto, no dude en ponerse en contacto con nosotros. Estaremos encantados de atenderle.
Cristina Pérez Marín
Abogada, especialista en Derecho Digital en Carrillo Asesores.