En el artículo de hoy, nos preguntamos si se puede usar el reconocimiento facial para el registro de la jornada laboral. Pues bien, hace unas semanas, la Agencia Española de Protección de Datos (AEPD) apercibía en su resolución PS-00218-2021 a una entidad de Derecho Público dependiente de la Consejería de Medio Ambiente, Vivienda y Agricultura de la Comunidad de Madrid, por el uso de un sistema de reconocimiento facial para realizar el registro de la jornada laboral.
Lo curioso de la resolución, es que en un primer momento la Agencia Española de Protección de Datos (AEPD) aplicó el régimen sancionatorio de las entidades privadas, pues la AEPD consideró que la actividad de la entidad denunciada, esto es, tareas de conservación y mantenimiento de infraestructuras urbanísticas (como labores de limpieza y vadeo de calles), eran propias de una entidad privada. Tantos es así, que tras las actuaciones previas de investigación, se propusieron dos multas:
- Una de 100.000 euros por falta de base de legitimación respecto al tratamiento de los datos biométricos de la plantilla de trabajadores. Esto se traduce en una infracción del artículo 9.2.b) en relación con el 6.1 del RGPD.
- Y otra de 20.000 euros por no realizar la Evaluación de Impacto (EIPD) correspondiente, obligación contemplada en el artículo 35 del RGPD y vinculado a la lista publicada por la AEPD en 2019 sobre los tipos de tratamientos que requieren dicha evaluación.
Tras el inicio del procedimiento sancionador, la entidad alegó que, si bien es una entidad con personalidad jurídica propia y plena capacidad de autonomía para el cumplimiento de sus fines, tiene naturaleza administrativa, siendo indistinto si está realizando o no una actividad pública, o si el régimen bajo el que el personal es contratado es laboral o funcionario, pues el artículo 77.1.d) LOPDgdd respecto de los sujetos obligados exentos de sanción económica, sólo alude al carácter de la entidad, sin entrar a valorar el tipo de actividad que realicen las mimas, de modo que, en caso de ser encontrados infractores, la sanción a dictar sería el apercibimiento.
Para ponernos en antecedentes, la entidad utilizaba, inicialmente, tarjetas con chips RFID para realizar el fichaje, este sistema sería sustituido posteriormente por uno de huella dactilar, tras detectar un posible fraude acometido por uno de los trabajadores.
Meses más tarde, con la llegada de la COVID-19, se reemplazó el sistema descrito por un dispositivo de reconocimiento facial, cuyo sistema incluía algoritmos de aprendizaje profundo que ayudaban a reconocer al titular con mayor precisión, rapidez y evitaba posibles fraudes.
Antes de entrar a analizar los motivos de las infracciones, debemos señalar que un dato biométrico es aquel que es obtenido a partir de un tratamiento técnico específico y con el cual se permite o confirma la identificación única de la persona. Esto significa que una plantilla con minucias, los patrones, la firma y, en definitiva, los algoritmos resultantes del procesamiento de dichos rasgos son un dato biométrico.
Además, debemos tener en cuenta las Directrices 05/2022 sobre el uso de la tecnología de reconocimiento facial por parte de las autoridades, que establecen que, con independencia de que las técnicas utilizadas tengan como resultado la identificación (proceso de búsqueda de correspondencias uno-a-varios) o la autenticación (proceso de búsqueda de correspondencias uno-a-uno) del titular, los datos biométricos deben ser considerados, en todo caso, como categoría especial de datos, pues ambos tratamientos identifican de forma unívoca a la persona.
La AEPD en su requerimiento de información solicita, al responsable del tratamiento, la siguiente información:
- La base de legitimación del tratamiento de datos biométricos para realizar el registro de la jornada laboral.
En este caso, la entidad alegó que el tratamiento se basaba en:
- La relación contractual con los trabajadores.
- La obligación legal a la que están sujetos respecto al registro de jornada.
- El interés legítimo del responsable en controlar a los trabajadores.
- La misión interés público que deriva de las funciones que tiene encomendadas como entidad de la administración pública.
La AEPD analiza las mismas y resuelve señalando que:
- La obligación legal del registro de jornada no deriva de las obligaciones asumidas entre las partes (descartando la primera base), sino de lo dispuesto en el artículo 34.9 ET, precepto en el que no se señala el medio a través del cual se debe llevar a cabo el fichaje, ni tan siquiera da pautas o hace referencia expresa a que el mismo deba identificar unívocamente a la persona, por lo que habrá que analizar la necesidad y proporcionalidad de cada medio elegido para llevar a cabo el correspondiente registro de jornada.
- En cuanto al uso del interés legítimo, las autoridades públicas no pueden hacer uso de él, tal y como indica el último párrafo del artículo 6.1. RGPD, cuando establece que «lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones».
- Por último, los tratamientos basados en realizar una misión en interés público o en el ejercicio de los poderes públicos, requieren de una norma de rango legal que haga referencia expresa a dicho objeto, así como los pormenores del tratamiento, disposición que no existe en nuestro ordenamiento interno actualmente, tal y como señala la AEPD en su Informe Jurídico 2021-0047 o en la resolución PS-00120-2021.
Asimismo, la AEPD da un paso más y analiza las posibles bases del artículo 9.2 RGPD, centrándose en lo recogido en el artículo 9.2.b) RGPD, esto es, el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, haciendo hincapié en que para que esta base pueda ser utilizada, además de que el medio debe ser idóneo, necesario y proporcional, debe estar autorizado por:
- El Derecho de la Unión o de los Estados miembros.
- Un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
En definitiva, las bases de legitimación alegadas por la entidad son insuficientes, por lo que el tratamiento de datos relativo al reconocimiento facial para el registro de la jornada no podía llevarse a término.
2. El medio a través del cual se ha cumplido con el principio de información.
En este caso, la entidad señala que la misma se realizó a través de un comunicado a los trabajadores, tras tener el visto bueno del comité de empresa.
3. Los plazos de conservación.
A pesar de que el plazo de conservación dispuesto en el Estatuto de Trabajadores es de 4 años, la entidad los podía llegar a mantener hasta 10 años. En este sentido, y a pesar de que la Agencia no se pronuncia al respecto, debemos recordar que los datos deben mantenerse identificables sólo durante el tiempo estrictamente necesario para el fin por el que fueron recopilados, periodo que, en este caso, viene señalado en la propia ley.
En el caso de las plantillas faciales, las mismas se conservan hasta que el trabajador abandona la entidad.
4. Los fines del tratamiento (tanto el inicial como los ulteriores, así como la compatibilidad de estos últimos respecto del primero).
La empresa señala que se usan exclusivamente para realizar el registro de la jornada.
5. Características del dispositivo. En este caso, la AEPD ha publicado el requerimiento de información completo, por lo que podemos extraer ideas sobre qué factores podemos tener en cuenta, como responsables, a la hora de buscar un dispositivo y diseñar el tratamiento. En concreto:
- Identificación del soporte y del software, así como si el sistema cuenta con alguna certificación o ISO relacionada al tratamiento de los datos biométricos. Esta información nos las deberá proporcionar el proveedor al que vayamos adquirir el sistema de fichaje, el cual deberá a su vez deberá haber aplicado la protección de datos por diseño y por defecto.
- En este sentido, encontramos especificaciones a seguir en la ISO/IEC 24745:2022, que proporciona pautas sobre cómo proteger los datos biométricos bajo los requerimientos de confidencialidad, integridad, renovabilidad o revocabilidad en la custodia y transmisión de este tipo de datos. Además, proporciona requisitos y recomendaciones para su gestión y procesamiento seguro.
- También nos encontramos con la familia ISO/IEC 19794, que recoge especificaciones sobre el formato de los datos en sistemas biométricos o la familia ISO/IEC 19989 sobre la evaluación de dichos sistemas.
- Si el dispositivo de reconocimiento facial se gestiona o mantiene a través de algún proveedor externo. A la hora de diseñar el tratamiento, es necesario conocer quiénes van a poder acceder a la información y bajo qué circunstancias, es decir, hay que aplicar las máximas del mínimo acceso y el mínimo privilegio.
- También es importante saber si el dispositivo tiene conexión Wi-Fi, o si por el contrario, el acceso es por cable de red, pues dentro del análisis de riesgos habría que incluir los propios del uso de redes inalámbricas, como por ejemplo la interceptación de datos con ataques Man in the Middle.
- Dónde está almacenada la plantilla y si la base de datos en la que se encuentran almacenadas está conectada a otras diferentes. Vinculado al punto anterior, es necesario decidir si los datos van a estar exclusivamente en el dispositivo, si van a almacenarse en una unidad externa, si se van a realizar copias de seguridad de las plantillas y de los fichajes, así como la ubicación y periodicidad de estas.
- Valor umbral que indica que se ha producido coincidencia entre las dos imágenes faciales que se comparan, y qué recomendación da el fabricante para este caso. La identificación biométrica no es infalible, por lo que en función de la precisión del equipo y el software, vamos a encontrar una tasa de falsos positivos (casos en los que habría una suplantación) y falsos negativos (supuestos en los que se rechaza a un individuo autorizado). Como resultado de esto, los trabajadores deben tener el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
Cuando una persona pasa por delante del sistema, el software crea una plantilla y la compara con la base de datos almacenada. Si coincide el resultado, se registra la hora de entrada o salida, pero si no coincide, es importante conocer cuál sería el resultado, pues de llegar a almacenarse, estaríamos ante un tratamiento de datos sin base de legitimación, sobre todo si tenemos en cuenta que la finalidad del tratamiento es el registro de la jornada laboral de los trabajadores.
- Análisis de riesgos y evaluación de impacto, especificando los intereses y derechos de los empleados que se han tenido en cuenta. Al contrario que las contraseñas o el uso de identificadores objeto, como las tarjetas, los datos biométricos no son fácilmente modificables, lo que entraña riesgos graves intrínsecos al objeto de tratamiento. Tampoco todos los tratamientos biométricos implican los mismos riesgos, pues el esfuerzo técnico y organizativo para realizar un tratamiento masivo de datos dactilares es muy inferior a colocar una cámara con reconocimiento facial en mitad de una calle.
- Además, debemos tener en cuenta la lista publicada en 2019 por la AEPD en la que se encuentran los criterios a tener en cuenta para llevar a cabo una Evaluación de Impacto sobre el tratamiento de los datos, de modo que siempre que se cumplan 2 o más, la misma es preceptiva. Desplegándola sobre el caso, y tal y como señala la propia AEPD, en este caso nos encontramos ante un tratamiento de datos que implica:
- El uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD (Criterio 4)
- El uso de datos biométricos con el propósito de identificar de manera única a una persona física (Criterio 5)
- La utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas (Criterio 10)
- Por último, también es importante definir cuáles van a ser las medidas de seguridad, en sentido estricto, como la encriptación de los datos, el mantenimiento y actualización del software o el parcheamiento de vulnerabilidades.
En definitiva, antes de comprar un dispositivo y poner en marcha el tratamiento de datos biométricos, debemos cerciorarnos de estar cumpliendo con lo dispuesto en la normativa referenciada a lo largo de este artículo.
El reconocimiento facial entraña altos riesgos para los derechos y libertades fundamentales de los afectados, por tanto, antes de implantar cualquier proyecto que implique el tratamiento de dichos datos, es preciso auditar y ponderar en la preceptiva Evaluación de Impacto si es el medio más adecuado..
Para conocer más sobre el tratamiento de datos biométricos, puedes consultar más artículos que hemos publicado al respecto aquí, aquí y aquí.