Esa es la pregunta que se nos plantea tras el nuevo pronunciamiento de la Agencia Española de Protección de Datos, (en adelante, AEPD). El Informe E/03925/2020, emitido por la Autoridad de Control hace escasos días, archiva actuaciones contra la empresa ATOS IT SOLUTIONS AND SERVICES IBERIA, S.L, tras la interposición de la correspondiente reclamación por una trabajadora de la entidad, y miembro, a su vez, del Comité de Empresa, como consecuencia de la recogida y tratamiento de la huella dactilar de los trabajadores cómo método de fichaje horario.
¿Cuáles son los hechos en los que la reclamante basa su denuncia? Atendiendo a las exigencias que el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), imponen a responsables y encargados del tratamiento, respecto del tratamiento de un dato de carácter biométrico, cómo es la huella dactilar, la denunciante alega que:
– La entidad, recoge datos biométricos sin recabar el consentimiento explícito de los trabajadores ni cumplir con el principio de información recogido en los artículos 13 del RGPD y 11 de la LOPDGDD.
– No se ha efectuado una evaluación de impacto, siendo esta obligatoria en base al artículo 35 del RGPD.
– No tiene constancia de que se haya elaborado el correspondiente Registro de Actividades del Tratamiento conforme establece el artículo 30 del RGPD y 31 de la LOPDGDD.
Saliendo al paso de las alegaciones de la reclamante, la entidad reclamada aporta toda aquella documentación que demuestra el cumplimiento normativo y en las que, cómo veremos, la AEPD basa su decisión: cláusulas informativas publicadas en diferentes canales corporativos, registro de actividades del tratamiento y, en relación con la evaluación de impacto, dos análisis de necesidad de realización y dos evaluaciones de impacto relativas a control de acceso y al sistema de registro de jornada.
Nos parece necesario recordar, en este punto, que la huella dactilar es un dato de carácter biométrico entendiendo por tales a aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (artículo 4.14 RGPD). No hay duda, la huella dactilar es un dato biométrico. Pero ¿y dato especialmente protegido? Considera, la AEPD, que para aclarar las dudas interpretativas que surgen a este respecto, se debe traer a colación la distinción entre identificación y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:
– Identificación biométrica – proceso de comparar los datos biométricos del interesado (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos. Proceso uno a varios.
– Verificación/autenticación biométrica – proceso de comparación entre los datos biométricos del interesado (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo. Proceso uno a uno.
Entiende, la AEPD, que los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).
No obstante, este criterio no es unánime pues si acudimos a las interpretaciones realizas por la Autoridad Catalana de Protección de Datos (ADPCAT, en adelante) nos encontramos con una consideración opuesta. Entiende, la APDCAT, que, todos los datos biométricos deberán ser considerados especialmente protegidos independientemente de la técnica utilizada para su captación toda vez que, para que un dato sea considerado especialmente protegido debe darse una condición: qué los datos persigan la identificación unívoca de una persona física. Y esta finalidad se cumple tanto en el caso de la autenticación como en el caso de la identificación de una persona entre varias. Esta Autoridad refuerza su criterio en pronunciamientos, a favor del mismo, de la Commission Nationale de la informatique et des Libertés (CNIL) de Francia y el Garante per la protezione dei dati personali de Italia.
Dejando este debate (sobre el que ya nos pronunciamos, aquí) nos centraremos en la fundamentación esgrimida por la AEPD para el caso que nos ocupa. Partiendo de la base de que no es la primera vez que la AEPD se pronuncia acerca del uso de la huella dactilar cómo método de acceso a unas instalaciones, ¿por qué, entonces, la importancia de este nuevo pronunciamiento?. Porque el escenario que nos plantea difiere, en cierto modo, del criterio ya manifestado en su día por la propia Agencia.
En sus informes (Informe 368/2006 y PS/00002/2018) consideraba que, la instalación de un sistema de huella dactilar cómo mecanismo de acceso a diferentes instalaciones, era desproporcionado pudiéndose obtener, la finalidad principal, mediante el uso de otras medidas que no requerían el tratamiento de datos biométricos. Así, y, dada la especial naturaleza de estos datos, se debía optar en primer lugar por otros sistemas de control que permitiesen alcanzar la misma finalidad siendo igualmente factibles y eficaces.
Instauraba, así, un criterio firme (hasta ahora) que choca, frontalmente, con el que analizamos hoy día, puesto que en base a este nuevo pronunciamiento entiende, la AEPD que existe legitimación suficiente, por parte de los empleadores, de recoger y tratar la huella dactilar de los trabajadores para el acceso y control horario de los mismos sin necesidad de recabar su consentimiento explícito. En concreto considera que la legitimación para el tratamiento de esta tipología de dato se debe buscar en los artículos 9 apartados 1 y 2.b) y 6 del RGPD, en virtud de los cuales:
– Artículo 6.1.b) RGPD – “1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: (…) b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. (…)”
– Artículo 9.2 letra b) RGPD – «el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (…)». Por tanto, el sustento normativo recaería sobre el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, que modifica el artículo 34 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, y por el que se torna obligatorio el fichaje de la jornada laboral desde el mes de mayo de 2019. Sobre el fichaje horario, ya nos pronunciamos en su momento (aquí).
Y siempre, a pesar de la existencia de base legitimadora, tener en cuenta que el tratamiento de datos deberá cumplir con los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos y, en todo caso, deberá ser adecuado, pertinente y no excesivo en relación con dicha finalidad. Por tanto, aquellos datos biométricos que no sean necesarios para esa finalidad (registro horario, en este caso) deben suprimirse.
El RD 8/2019 y el ET imponen, a los empresarios, la obligación de registrar la jornada laboral. ¿Ampara esto el tratamiento de categorías especiales de datos para cumplir con esta exigencia normativa? Así como, si atendemos a otras normativa sectoriales cómo la educativa (Ley Orgánica 2/2006, de 3 de mayo, de Educación) o la sanitaria (Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente) nos encontramos con que sí se establece específicamente, la posibilidad de recabar esta tipología de datos, de la lectura de las disposiciones del ET, no podemos considerar, a día de hoy, que así sea.
Adicionalmente, una de las cuestiones más llamativas de la resolución, radica en que la AEPD no se pronuncia acerca de si el sistema utilizado por ATOS es un sistema uno a uno, o uno a varios. A pesar de que por el desarrollo del informe cabría pensar que se nos encontramos con un sistema de verificación, o lo que es lo mismo, un proceso uno a uno (no considerados por la AEPD cómo datos especialmente protegidos), basa su decisión de archivo en el cumplimiento, por parte de ATOS, de exigencias normativas, algunas de ellas vinculadas al tratamiento de categorías especiales de datos (proceso de uno a varios, según a AEPD):
– Registro de actividades – acreditado por la demandada y cuyo desarrollo cumple, según la AEPD, con los requisitos del artículo 30 del RGPD.
– Cumplimiento del principio de información – acreditado mediante la presentación de cláusulas informativas que cumplen con los requisitos de los artículos 13 (RGPD) y 11 (LOPDGDD).
– Evaluación de impacto – qué, según la AEPD, se considera obligatoria en base a la realización de un tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1. De igual forma, entiende la AEPD suficientemente acreditado el cumplimiento de esta exigencia, en base a la EIPD presentada por ATOS.
A tenor de todo lo antedicho, nos surge la duda de a qué criterio interpretativo hemos de atender. ¿Aquel que indicaba que el acceso mediante huella era considerado cómo intrusivo? o ¿El reciente criterio que la AEPD aplica en este caso en concreto donde nos indica que el empresario cuenta con una base legitimadora en la que ampararse para la recogida y tratamiento de la huella dactilar?
Sin perder de vista lo antedicho, y de cara al fichaje horario, los responsables del tratamiento podrán adoptar dos posturas diferenciadas:
– Una línea más garantista con el cumplimiento normativo y los derechos de sus trabajadores, y, a su vez, más afable con los comités de empresa, haciendo uso de otros sistemas de fichaje horario menos intrusivos para su privacidad; tales cómo fichaje mediante tarjeta, código pin, formatos en papel, etcétera.
– Ampararse, con cautela, en el criterio esgrimido, para este caso en concreto, por la AEPD, y analizado a lo largo del presente blog, teniendo en consideración el cumplimiento de los requisitos en los que la autoridad fundamenta su decisión de archivo.
Sin duda, cómo profesionales de la privacidad, siempre abogaremos por la primera de las posturas pues si bien es cierto que los responsables del tratamiento deben atender las diferentes exigencias recogidas en normas con rango de ley que les son de aplicación, cómo sería en este caso el registro de jornada laboral por parte de sus trabajadores, lo han de hacer respetando al máximo los derechos y libertades de los interesados y más en concreto, la protección de sus datos de carácter personal.