En los últimos años, la AEPD ha hecho públicas varias resoluciones en las que se sanciona a empresas y entidades, tanto públicas como privadas, por emplear datos biométricos para el registro de las jornadas de los trabajadores.
En este artículo, nos centramos en explicar qué determina exactamente la AEPD y hasta dónde pueden llegar las organizaciones con este tipo de métodos de registro y control de la jornada laboral.
Sabemos que en el caso de las entidades públicas estos procedimientos no pueden acabar en sanción, sino en apercibimiento. Pero tenemos ejemplos en el ámbito privado que han llegado a sancionar con multas de 20.000 euros para la empresa demandada.
¿De verdad crees que merece la pena recurrir a estos métodos, si no estás seguro de su legalidad con respecto tanto a la LOPDGDD como a la RGPD? Antes de nada deberías informarte, y para eso estamos en APDTIC.
¿Qué son los datos biométricos y para qué los usan las empresas?
A través de las técnicas de procesamiento de datos biométricos se recogen muchos tipos de rasgos (físicos, fisiológicos, conductuales, neuronales, etc.) de las personas que acceden a los dispositivos o sensores instalados a tal fin.
Se suelen emplear en múltiples escenarios, pero en el caso que nos ocupa tienen su papel en los centros de trabajo, para identificar a los empleados y controlar sus accesos y salidas. Un ejemplo muy común sería la apertura de la puerta mediante huella dactilar, aunque hay muchos más.
Los datos biométricos, considerados como datos sensibles
Según el artículo 9 del RGPD, los datos biométricos son considerados datos sensibles y, como tal, se enmarcan en la categoría de datos especialmente protegidos. El motivo es que se utilizan para identificar unívocamente a las personas, y por eso los responsables y los encargados de su tratamiento están obligados a cumplir ciertos requisitos.
Entonces, ¿es legal realizar registros de jornada mediante datos biométricos?
No todas las operaciones con datos de naturaleza biométrica tienen el mismo impacto en la privacidad de las personas. Por tanto, para responder a esta pregunta antes es necesario conocer determinados detalles del tratamiento, con el fin de evaluar los riesgos, la proporcionalidad, la adecuación, la necesidad y la finalidad particulares.
Estos son algunos de los criterios que servirán para realizar la clasificación:
- Finalidad del tratamiento.
- Alcance del tratamiento.
- Marco legal.
- Intervención humana.
- Transparencia de la operación.
- Datos mínimos del tratamiento.
- Idoneidad de la operación.
- Nivel de control de los usuarios.
- Efectos colaterales.
- Brechas de seguridad.
Analizando estos y otros factores, será posible determinar el grado de cumplimiento normativo del tratamiento realizado.
Las obligaciones de las empresas en relación con el tratamiento de datos biométricos
En cualquier caso, y sin importar cuál sea el resultado del anterior análisis, las empresas e instituciones que empleen técnicas de recogida de datos biométricos son responsables de una serie de obligaciones, que deben cumplir en cualquier circunstancia:
El deber de información
Quienes manejen datos biométricos deberán informar a los afectados acerca de los siguientes aspectos:
- La identidad de los responsables de los datos.
- Su finalidad.
- Su conservación.
- El modo en que pueden ejercer sus derechos.
El registro de las actividades del tratamiento
En dicho registro se harán constar el nombre y los datos de contacto tanto del responsable de los datos como de los encargados del tratamiento y del delegado de protección de datos, si existe. Asimismo, se detallarán los fines del tratamiento, la categoría de los datos y los plazos para su supresión.
La evaluación del impacto en la Protección de Datos (EIPD)
Se evaluará el impacto del sistema que se vaya a emplear para el tratamiento con el objetivo de implementar las medidas necesarias para minimizarlo.
El deber de seguridad
Se ha de garantizar en todo momento la integridad y seguridad de los datos. De este modo, se previene el robo o la pérdida de los mismos por parte de terceros que no estén autorizados. En este mismo sentido, si esto sucede se tendrá que dar aviso a la AEPD en el plazo máximo de 72 horas.
El deber de confidencialidad
No se deben revelar a ningún tercero los datos que se han obtenido, y para asegurar esto se firmará el correspondiente contrato de confidencialidad.
Los principios de necesidad, idoneidad y proporcionalidad
Estos principios implican que los datos no pueden usarse para fines distintos a los inicialmente especificados. Y que la empresa confirma que dichos fines originales no pueden alcanzarse de formas menos agresivas.
En definitiva, aunque no es posible asegurar que el registro de los datos biométricos para controlar la jornada laboral es ilegal, sí es cierto que hay que llevarlo a cabo con sumo cuidado y es recomendable que conviva con otras alternativas que también garanticen el control horario de los trabajadores. Son muchos los requisitos que hay que cumplir y ya hemos visto que la AEPD no duda a la hora de apercibir o sancionar a quienes no los apliquen a rajatabla.