La Agencia Española de Protección de Datos ha publicado, el pasado 23 de Noviembre de 2023, una nueva Guía Relativa a Tratamientos de Control de Presencia mediante Sistemas Biométricos.
Conforme a esta Circular, la AEPD establece los siguientes criterios en relación con la utilización de datos biométricos para el registro de jornada laboral:
a. Para realizar estos tratamientos a través de datos biométricos, será necesario una ley específica que lo autorice, algo que actualmente no se encuentra en nuestra legislación laboral.
b. Tampoco es posible la utilización del consentimiento explícito del trabajador para levantar esta prohibición, puesto que el consentimiento puede que no se haya dado libremente, por lo que no debe ser la base jurídica que legitime este tipo de tratamientos.
Este cambio de criterio supone una prohibición general de uso de datos biométricos y limitar el uso de tecnologías que hasta ahora eran utilizadas por muchas Empresas para cumplir con la obligación de registro de jornada laboral o para permitir el acceso de sus trabajadores a diferentes instalaciones, garantizando que no se producían situaciones que pudieran falsear el registro de jornada como las que se daban anteriormente.
¿Por qué ya no es válida la excepción de obligación legal que hasta ahora se utilizaba para el tratamiento de datos biométricos en el registro de jornada laboral?
Hasta ahora, la legitimación para el tratamiento de los datos biométricos de los trabajadores para el Registro de Jornada Laboral se fundamentaba en una excepción prevista en el propio Reglamento General de Protección de Datos: el artículo 9.2.b) permitía el tratamiento de estos datos cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del Derecho laboral, en la medida en que así lo autorizase una norma con rango de Ley o un Convenio Colectivo.
Así, el tratamiento de los datos de huella dactilar de los empleados a fines de registro de jornada, quedaba autorizado por ser necesario el tratamiento para el cumplimiento de obligaciones de la obligación de implementación de un Registro de Jornada Laboral de acuerdo al artículo 34.9 del Estatuto de los Trabajadores.
Dado que debe existir una norma laboral que permita el tratamiento de datos biométricos para el registro de jornada, en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control de registro de la jornada de trabajo, puesto que los artículos 20.3 y 34.9 del Estatuto de los Trabajadores, no contienen tal autorización.
¿Puede el consentimiento explícito de los trabajadores permitir mantener el sistema de Registro de Jornada Laboral con datos biométricos?
La Agencia Española de Protección de Datos estableció ya en su Guía de relaciones laborales de 2021 que el consentimiento del trabajador dentro de las relaciones laborales no es una base legitimadora adecuada para habilitar este tipo de tratamientos dado que puede que este consentimiento no se haya dado libremente puesto que existe un desequilibro claro entre el trabajador y la Empresa, salvo que se garantice y acredite por parte de la Empresa que si un empleado no da su consentimiento no tendrá consecuencias adversas para él esta negativa.
En el caso del registro de jornada, como el interesado tiene la obligación de registrar su jornada, únicamente podría considerarse la existencia de un consentimiento libre a un tratamiento de datos biométricos si el trabajador dispone de una alternativa de libre elección para cumplir con dicha obligación; ahora bien, la Agencia Española de Protección de Datos indica que al dar a elegir una opción que implica un método de control de registro de jornada equivalente que resulta menos intrusivo (como tarjetas, certificados, claves, sistemas manuales), el tratamiento biométrico no es necesario debido al principio de minimización de datos, y dado que si se facilita a un trabajador sistemas alternativos menos intrusivos, sostiene que debe ampliarse ese sistema menos intrusivo a todos los trabajadores.
¿Qué supone para las Empresas que han implementado ya un registro de jornada laboral con uso de datos biométricos?
Para las Empresas que ya habían implementado sistemas de registro de jornada laboral a través de aplicaciones informáticas que utilizan datos biométricos para la identificación y autenticación de sus empleados supone cambiar el modo de realizar esta identificación y autenticación biométrica por sistemas menos intrusivos y de menor riesgo, más teniendo en cuenta que la Agencia Española de Protección de Datos puede sancionarlas por el incumplimiento de la normativa.
El cambio o sustitución de los sistemas implementados para el registro de jornada se puede realizar directamente por los proveedores externos mediante la sustitución del sistema de identificación y autenticación biométrica a códigos únicos para los trabajadores, de manera que si hasta ahora el uso de esta tecnología facilitaba un sistema rápido, confiable y acreditable de registro de jornada laboral conforme a los criterios técnicos sentados por la Inspección de Trabajo, el cambio de sistema de identificación y autenticación no alterará esas garantías, dado que un código numérico único asignado a cada trabajador garantiza que sólo él es conocedor del mismo.
Conclusión.
Salvo que se produzca una modificación legislativa en el Estatuto de los Trabajadores que habilite expresamente que el registro de jornada laboral pueda realizarse a través de sistemas de identificación y autenticación biométrica o bien se establezca por un Convenio Colectivo Sectorial o específico de la Empresa con sus trabajadores la habilitación de estos medios de registro de jornada laboral, por ahora es recomendable que las Empresas dejen de utilizar estas tecnologías y habiliten medios menos intrusivos, que garanticen los criterios de la Inspección de Trabajo para el registro de jornada laboral, respetando el derecho a la protección de datos.
Otras opciones son establecer tarjetas de fichaje de los trabajadores, registros en aplicaciones en la intranet corporativa que se activen en el momento que el trabajador se logea frente al sistema al inicio de su jornada laboral, o sistemas de registro en soporte papel.
Desde DGE Bruxelles nos ponemos a vuestra disposición para analizar el sistema que se encuentra implementado para el Registro de Jornada y dar posibles soluciones al mismo a través de Evaluaciones de Impacto y adopción de medidas para reducir los riesgos que suponen el tratamiento de datos biométricos.
