En este mismo blog, hace unas semanas analizábamos la videovigilancia como control empresarial. Hoy toca detenernos en otras medidas de control que el empresario puede llevar a cabo para controlar a sus trabajadores.
1. La geolocalización de los trabajadores vía GPS en vehículos o a través de móviles.
Respecto a esta medida se plantean dos escenarios diversos, no desde el punto de vista del consentimiento ni de la información, sino desde la calidad de los datos, concretamente desde la proporcionalidad en el tratamiento.
En estos casos no es necesario obtener el consentimiento del trabajador para la instalación de los geolocalizadores ya que nos encontramos en el marco de una relación laboral y el empresario puede ampararse en el artículo 20.3 del Estatuto de los Trabajadores. Eso sí, hay que hacer énfasis en la importancia del deber de informar al trabajador de la instalación de dichos geolocalizadores.
Así lo establece la Agencia Española de Protección de Datos en su Informe 193/2008:
• «…las normas que legitiman el tratamiento de los datos, además de tener en cuenta el Reglamento Comunitario invocado en la consulta, no podemos dejar de mencionar que en el ámbito laboral el Estatuto de los Trabajadores (artículo 20.3) otorga los poderes de dirección del empresario y es en ese articulado, donde podemos encontrar la oportuna legitimación.
• «No obstante la existencia de legitimación no excluye el cumplimiento del deber de informar, por parte del empresario…»
En otro informe (0090/2009) la Agencia analiza la geolocalización a través de smartphones:
• «La finalidad que ocasiona el tratamiento de los datos de localización del escolta es garantizar la seguridad de la persona escoltada. No obstante siguiendo el razonamiento del informe anterior, podría acogerse al poder de dirección empresarial en vez de a la normativa de Seguridad Privada.»
• «…el tratamiento de los datos de localización fuera del tiempo de la prestación laboral resulta excesivo en relación a la finalidad perseguida…»
Lo más significativo es que la Agencia aclara que el tratamiento de los datos de localización fuera del horario laboral resulta excesivo, por lo que un empresario no debería recoger datos de localización en relación con un empleado fuera de su tiempo de trabajo.
Por último, destacamos la Sentencia el Tribunal Supremo 5259/2012 la cual confirmaba otra Sentencia del Tribunal Superior de Justicia del País Vasco, que declaró nulo el despido de un trabajador por la realización de tareas incompatibles son su situación de incapacidad temporal, al haberse obtenido las pruebas violando su derecho a la intimidad, puesto que se instaló un GPS en su vehículo sin informar al trabajador.
2. Control de accesos: biometría.
Primero debemos definir qué es un dato biométrico. La AEPD lo ha definido en varios informes de la siguiente manera: «aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.»
La biometría en relación a la protección de datos fue analizada por primera vez por el Grupo de Trabajo del artículo 29, el cual emitió en el año 20013 un documento de trabajo, del cual cabe reseñar lo siguiente:
«El Grupo opina que la mayor parte de los datos biométricos implican el tratamiento de datos personales. Por consiguiente, es necesario respetar plenamente los principios de la protección de datos que aparecen en la Directiva 95/46/CE.
El cumplimiento del principio de proporcionalidad, que constituye el núcleo de la protección garantizada por la Directiva 95/46/CE impone, especialmente en el contexto de la autenticación/comprobación, una clara preferencia por las aplicaciones biométricas que no tratan datos obtenidos a partir de rastros físicos dejados por personas sin darse cuenta o que no se almacenan en un sistema centralizado. «
Situados ya en lo que es un dato biométrico y conociendo que, efectivamente, se trata de un dato de carácter personal, vamos analizar el supuesto de control de accesos a un centro universitario, de alumnos y trabajadores, a través de programas de reconocimiento facial.
En el informe de la AEPD 0392/2011 sobre el uso de reconocimiento facial en el acceso a clases, se lleva a cabo un análisis de distintos informes de la propia Agencia sobre la materia así como del documento emitido por el GT29 citado anteriormente. De dicho informe vamos a destacar lo siguiente:
• Siguiendo la doctrina emanada por el Tribunal Constitucional, el cumplimiento del principio de proporcionalidad exigirá superar los principios de idoneidad, necesidad y proporcionalidad.
• «…en este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones: …(juicio de idoneidad); si, además, es (juicio de necesidad); y, (juicio de proporcionalidad en sentido estricto)»
• «…el juicio de necesidad y proporcionalidad deberá analizarse en cada caso concreto. Así lo pone de manifiesto el documento WP80 del Grupo del artículo 29, cuando se refiere a estos casos…»
• …conllevan a considerar que la finalidad de control de asistencia podría lograrse igualmente a través de otros mecanismos, habitualmente utilizados hasta la fecha, que garanticen una mayor seguridad en el logro del objetivo sin necesidad de exigir el tratamiento del dato de la huella digital…»
Con lo cual, habrá siempre que analizar cada caso concreto para ver si la medida que supone controlar el acceso mediante datos biométricos supera el juicio de proporcionalidad. En este caso la AEPD consideró que mediante otros mecanismos menos invasivos para la intimidad de los alumnos se podría haber conseguido la finalidad de acceder a las clases.