Aunque ya hemos tenido ocasión de hablar sobre el uso de la biometría para el control horario en anteriores entradas a nuestro Blog, (aquí y aquí). En el presente artículo vamos a empezar analizando una reciente sentencia de un juzgado de lo social pionera en reconocer la vulneración de derechos fundamentales, condenando a una entidad a una indemnización por daños morales en la cuantía de 6.251 euros, por falta de información a un trabajador acerca del tratamiento de su imagen para control horario, careciendo de su consentimiento expreso para que su imagen pudiera ser usada para fichar.
Para ponernos en antecedentes, tenemos que remontarnos en el tiempo:
La empresa en cuestión había adquirido un software de control de presencia para llevar a cabo el control horario de entrada y salida de los empleados a sus puestos de trabajo. Dispositivo que sacaba una fotografía de la cara de los empleados, y sobre el que el trabajador, ahora denunciante no había sido informado del uso y tratamiento de los datos biométricos. Tan solo se les hizo firmar un consentimiento para el uso de sus derechos de imagen con el fin de poder ser utilizadas y difundidas para su publicación en página web, RRSS, revistas y publicidad corporativa de la entidad.
En base a lo expuesto, el denunciante interpuso reclamación ante la AEPD , quién acordó iniciar procedimiento sancionador no por falta de alguna de las bases de legitimación del artículo 6 junto a las condiciones que establece el 9.2 del RGPD al estar afectadas categorías especiales de datos (alegando en este sentido la empresa que dicho registro de jornada estaba amparado en el artículo 34.9 del ET , derivado del cumplimento de una obligación legal aplicable al responsable de acuerdo con el artículo 6.1 c)), sino por la falta de una evaluación de impacto de conformidad con el artículo 35 RGPD.
La empresa finalmente se acogió a la doble reducción por reconocimiento de responsabilidad y pago voluntario quedando la sanción de 20.000 euros inicial en 12.000 euros.
Pero aquí no termina la cuestión, el trabajador decidió dar un paso más y acudir a la jurisdicción social, solicitando una indemnización por daños y perjuicios al verse vulnerados sus derechos a la intimidad y propia imagen.
El juzgado de lo social estimó la demanda al resultar de la prueba documental aportada que el denunciante no dio su consentimiento expreso para que su imagen pudiera ser usada para fichar la entrada y salida en la empresa. A mayor abundamiento no consta que se ofrecieran al trabajador otras opciones y/o alternativas a fin de realizar el citado control, como el uso de tarjetas con el añadido de que no se realizó la correspondiente evaluación de impacto en protección de datos.
Pues bien, expuesto lo anterior y volviendo al tema de las bases de legitimación, atendiendo a que en este supuesto concreto en primera instancia nuestra autoridad de control no entró a valorar si dicho tratamiento biométrico estaba amparado en lo previsto en el artículo 6.1 c) del Reglamento Europeo 2016/76 (RGPD) por cumplimento de una obligación legal aplicable al responsable del tratamiento, pasamos a hacer un breve análisis y recordatorio de las distintas bases de legitimación y su encaje sobre dicho tratamiento biométrico para control horario, a raíz de los últimos criterios marcados por parte de distintas autoridades de control como la Agencia Catalana de protección de datos y el Consejo de Transparencia y Protección de datos de Andalucía.
El Reglamento General de Protección de Datos (RGPD), que es la norma que nos aplica, establece que el tratamiento de los datos biométricos, categoría especial de datos personales, está en principio prohibido como regla general.
Según el artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante RGPD), se entiende por datos personales: “…toda información sobre una persona física identificada o identificable (‘el interesado’);”. Más concretamente, el artículo 4.14 del RGPD indica que se entienden por datos biométricos: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”
Por tanto, de acuerdo con los preceptos mencionados, el uso de dispositivos de reconocimiento facial y/o huella dactilar con la finalidad de un control horario implica llevar a cabo un tratamiento de datos personales, en concreto de datos biométricos, sujeto a la normativa de protección de datos.
Entre los principios relativos al tratamiento se encuentra el de la licitud, al que se refiere el artículo 5.1 a) del RGPD, cuando enuncia que los datos personales serán tratados de manera lícita en relación con el interesado.
Por su parte, el artículo 6.1 del RGPD supedita la licitud de un tratamiento al cumplimiento de al menos una de las condiciones enumeradas en dicho artículo. (citar las bases del artículo 6 )
Así, la base de licitud o legitimación para el tratamiento de datos a los fines previstos de control de presencia o de jornada podrían encuadrarse en el supuesto del artículo 6.1 b) del RGPD: “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales”.
Al respecto, puede traerse a colación el contenido del artículo 20.3 del Estatuto de los Trabajadores (ET) sobre la potestad de adopción del empresario de las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.
Concretamente, para el personal laboral, podría acudirse incluso a considerar la legitimación por la vía del artículo 6.1.c) del RGPD: “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al tratamiento”, en conexión con el artículo 34.9 del ET que dispone la obligación para la empresa de garantizar un registro diario de jornada que deberá incluir el horario concreto de inicio y finalización de jornada de cada persona trabajadora.
No obstante, lo expuesto, debe tenerse en cuenta que el artículo 9, apartado 1, del RGPD establece una regla general consistente en prohibir el tratamiento de determinadas categorías especiales de datos personales, entre los que se encuentran los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
En tal sentido, debe significarse que las Directrices 05/2022 del Comité Europeo de Protección de Datos (CEPD), sobre el uso de reconocimiento facial en el ámbito de las fuerzas de orden público, vienen a superar en su apartado 12 la posible interpretación de que dicha prohibición solo afectaría a los supuestos de datos biométricos dirigidos a la identificación de una persona a través de la comparación de sus datos con una o varias bases de datos que identifican a un conjunto de personas (proceso de búsqueda de correspondencia “uno a varios”), extendiéndola también a los supuestos de datos biométricos dirigidos a la autenticación o verificación de la persona con respecto al patrón previamente establecido para la misma (proceso de búsqueda de correspondencia “uno a uno”).
Por tanto, únicamente cabe excepcionar la anteriormente referida prohibición de tratamiento de los datos de categoría especial, cuando concurra alguna de las circunstancias que se especifican en el apartado 2 del artículo 9 del RGPD.
Concretamente la letra b) del referido apartado, excepciona la aplicación del apartado 1 cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”
En este sentido, la mención a la autorización por el Derecho de los estados miembros de la UE debe entenderse referida, en el caso del Estado Español, a la existencia de una norma previsora de rango legal en consonancia con lo dispuesto en el artículo 53.1 de la Constitución Española, por tratarse del desarrollo de un derecho, el de la protección de datos, reconocido como fundamental.
Puede afirmarse, por tanto, que en la actual normativa legal española no se contiene autorización alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo para el personal laboral, puesto que los artículos 20.3 y 34.9 del ET a los que se ha hecho referencia no contienen tal autorización. No obstante, a falta de previsión legal, la referida autorización o habilitación, de acuerdo con lo indicado en el artículo 9.2 b) del RGPD, podría estar prevista en los convenios colectivos de aplicación para el personal laboral.
Si bien a pesar de lo indicado, se ha abierto recientemente una vía por parte de algunas autoridades de control españolas a considera que este tratamiento podría considerarse igualmente legítimo si se recabase el consentimiento explícito por parte del interesado en base al artículo 9.2 a). Si bien, no se admite con carácter general el consentimiento como base jurídica legitimadora en los tratamientos llevados dentro del entorno laboral, dado el desequilibrio de poder que acostumbra a producirse y que impide que el consentimiento pueda considerarse como una manifestación de voluntad libre (conforme establece el art. 4.11 del RGPD). Manifestación de voluntad libre, en el sentido de una libre expresión que “se asocia a libertad de elección, prestar o no prestar el consentimiento y el control real del interesado”
Sin embargo, cabría una excepción, y podría considerarse que existe un consentimiento libre si el interesado dispone de una alternativa de libre elección para cumplir con el control horario, y es éste quien escoge y presta su consentimiento al tratamiento de los datos biométricos.
En definitiva, sobre la base de lo expuesto el consentimiento solo puede ser una base jurídica adecuada si se ofrece al interesado control y una capacidad real de elección con respecto a si desea aceptar o rechazar las condiciones ofrecidas o rechazarlas sin sufrir perjuicio alguno. El responsable del tratamiento tiene la obligación de evaluar si dicho consentimiento cumplirá todos los requisitos para la obtención de un consentimiento válido y ser capaz de demostrarlo sobre la base del principio de responsabilidad proactiva. Si no es así, el control del interesado será meramente ilusorio y el consentimiento no será una base jurídica válida para el tratamiento, lo que constituiría un tratamiento ilícito.
Para terminar y volviendo a la necesidad por parte del responsable del tratamiento de tener en cuenta la previsión del artículo 35 del RGPD, el cual prevé la obligatoriedad de llevar a cabo una Evaluación de Impacto (EIPD) en aquellos tratamientos, especialmente si emplean nuevas tecnologías como es el caso expuesto (si quieres saber más sobre EIPD y registro de jornada pincha aquí) que comporten un alto riesgo para los derechos y libertades de las personas. Se debe tener en cuenta que la evaluación de la legitimación del tratamiento y su debida justificación es una de las partes integrantes de la propia EIPD, pero en el caso de que el responsable del tratamiento no encuentre una base jurídica adecuada que legitime el tratamiento pretendido, la EIPD no puede constituir en ningún caso el instrumento jurídico habilitante de un tratamiento de datos personales.
A lo largo del presente artículo hemos expuestos los criterios vigentes a seguir por varias autoridades de control españolas para el tratamiento de datos biométricos para control horario, si bien ya os adelantamos, un cambio de criterio por parte de nuestra autoridad de control (AEPD), al publicar la nueva “Guía de Tratamientos de control de presencia mediante sistemas biométricos”, que fija los criterios del uso de la biometría para el control de acceso, tanto con fines laborales como no laborales.
En próximas entradas en nuestro Blog analizaremos a detalle su contenido.