Análisis del dictamen CTPD sobre el registro horario a través de datos biométricos

ANÁLISIS DE DICTAMEN DEL CTPD A CONSULTA DE UN AYUNTAMIENTO SOBRE LA LICITUD DE UN SISTEMA DE CONTROL HORARIO A TRAVÉS RECONOCIMIENTO FACIAL O HUELLA DACTILAR

Dictamen analizado

En el Dictamen 1/2023 del Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA), el DPO de un Ayuntamiento consulta si es conforme a la normativa de protección de datos del uso de dispositivos de control horario en el puesto de trabajo mediante reconocimiento facial o huella dactilar. El uso de estos dispositivos con el fin de control horario o de presencia comporta llevar a cabo un tratamiento de datos personales, y por tanto está sujeto a los principios y obligaciones del GDPR.

• Documento original: https://www.ctpdandalucia.es/sites/default/files/inline-files/dictamen-1-2023.pdf

I. Base jurídica (artículo 6.1. GDPR)

El tratamiento pretendido por el Ayuntamiento responde a la necesidad de controlar el horario de su personal.

1. Artículo 6.1.b) GDPR:

En la medida que este tratamiento de datos personales se realiza dentro de una relación jurídica laboral o administrativa, y tiene como finalidad el control por parte de la entidad de las obligaciones y deberes de su personal, en particular, la presencia o cumplimiento de la jornada, sería posible acudir a la base jurídica prevista en el artículo 6.1.b) del GDPR, al ser el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte.

Y conforme a la previsión del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.

2. Artículo 6.1.c) GDPR:

Del mismo modo, el artículo 34.9 del Estatuto de los Trabajadores establece que la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, (…). Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.

En base a este precepto, el tratamiento relativo al control de la presencia o jornada laboral podría también estar legitimado en base al artículo 6.1.c) del GDPR , es decir, cuando el tratamiento es necesario por el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

II. Excepción para el tratamiento de datos biométricos (artículo 9.2 GDPR)

El tratamiento de datos biométricos con el fin de identificar de forma unívoca a una persona física requiere que, además de una base jurídica del artículo 6.1 del GDPR, concurra también alguna de las excepciones previstas en el artículo 9.2 del GDPR, y en este caso solo serían valorables dos de ellas:

1. Artículo 9.2.a) GDPR:

Podría considerarse lícito el tratamiento de datos biométricos en base al consentimiento explícito del interesado, salvo establecimiento expreso contrario a tal sentido por parte de alguna ley.

Eso sí, debe ser previo, libre, específico, informado e inequívoco. Por tanto el consentimiento como base legitimadora requiere una manifestación de voluntad libre, una libre expresión que se asocia a libertad de elección, prestar o no prestar el consentimiento y el control real del interesado, descartando la existencia de algún tipo de coacción. Igualmente, la situación de desequilibrio entre el interesado y las Administraciones Públicas responsable del tratamiento, lleva a la consideración de que el consentimiento no es la base legitimadora en principio más apropiada de tratamiento por las Administraciones Públicas de los datos personales debiendo analizarse con cautela cuando no estuviese al menos previsto por la norma aplicable. Finalmente debe evaluarse si su prestación o no prestación puede depararle al interesado algún tipo de perjuicio o ha de producir algún tipo efecto desfavorable que condicione precisamente la libertad con la que ha de ser emitido.

Trasladado esto al supuesto que nos ocupa, únicamente podría considerarse la existencia de un consentimiento libre si el interesado dispone de una alternativa de libre elección para cumplir con el control horario o de presencia, es decir, han de habilitarse alternativas de modo que pueda atenderse a los interesados sin que se tenga que realizar un tratamiento de sus datos biométricos.

2. artículo 9.2.b) GDPR:

Este apartado del artículo 9.2 legitima el tratamiento de datos biométricos cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que se establezcan garantías adecuadas en lo que respecta al respeto de los derechos fundamentales y los intereses de las personas afectadas y así lo autorice:

1. El derecho de la Unión o de los Estados miembros, o
2. Un convenio colectivo con arreglo al Derecho de los Estados miembros.

Ninguna normativa prevé que se utilicen datos biométricos para controlar la presencia, registro horario o ejecución de la jornada (apartado a.)

A falta de previsión legal (apartado a.), en caso de que el convenio colectivo, el pacto o acuerdo resultante de la negociación colectiva prevea la utilización de datos biométricos a tal fin y establezca garantías adecuadas respecto a los derechos fundamentales y de los intereses de las personas interesadas, este instrumento permitiría concluir la concurrencia de la excepción prevista en el artículo 9.2.b) del GDPR.

III. Principios, obligaciones y recomendaciones en relación con el tratamiento de datos biométricos para el control de presencia

Además de contar con legitimación y licitud para llevarlo a cabo, cualquier tratamiento debe cumplir también el resto de los principios y obligaciones del GDPR y, entre ellos, con el principio de minimización.

En este sentido, el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29, sobre la evolución de las tecnologías biométricas afirmaba lo siguiente en relación con el análisis de la proporcionalidad y del cumplimiento del principio de minimización, previamente a su instalación se debe considerar/ponderar:

• Si el sistema es necesario para responder a la necesidad identificada, y no sólo lo más adecuado o rentable.
• La probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar.
• Si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada.
• Si un sistema menos invasivo de la intimidad alcanzaría el mismo fin deseado.

Por otra parte, se enumeran una serie de directrices y recomendaciones de conveniente cumplimiento:

• La persona trabajadora debe ser informada sobre el tratamiento.
• El principios de limitación de la finalidad deber respetarse junto con los demás principios de protección de datos: especialmente, los de necesidad, proporcionalidad y minimización de datos.
• En todo caso, el tratamiento también deberá ser adecuado, pertinente y no excesivo en relación con dicha finalidad. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos.
• Los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible. La plantilla deberá extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.
• El sistema biométrico utilizado y las medidas de seguridad elegidas deberán asegurarse de que es imposible o al menos rastreable la reutilización de los datos biométricos en cuestión para otra finalidad.
• Deberán utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.
• Los sistemas biométricos deberán diseñarse de modo que se pueda revocar el vínculo de identidad.
• Deberá optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
• Los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implantarse mecanismos automatizados de supresión de datos.

IV. Evaluación de impacto

Un tratamiento como el indicado requerirá la realización previa, por parte del responsable del tratamiento, de la evaluación de impacto relativa a la protección de datos establecida en el artículo 35 del GDPR, habida cuenta del cumplimiento de los criterios correspondientes a los números 4, 5 y 10, del documento “Listas de tipos de tratamiento de datos que requieren evaluación de impacto relativa a protección de datos”, hecho público por la AEPD y este Consejo en desarrollo de la previsión contemplada en el apartado cuarto del referido artículo 35.

V. Conclusiones

El uso de dispositivos de reconocimiento facial y/o huella dactilar con la finalidad de un control horario:

• Implica un tratamiento de datos personales, sujeto al GDPR.
• Podría encontrar su legitimación en el artículo 6.1 b) del GDPR y también en el artículo 6.1 c) del GDPR, este último exclusivamente para el personal laboral.
• Al tratarse de datos de categoría especial, los datos biométricos, el levantamiento de la prohibición de tratarlos no puede ampararse en la actualidad en el artículo 9.2 b) del GDPR puesto que en la actual normativa española no se contiene autorización para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. A falta de tal previsión legal, la referida autorización o habilitación podría preverse en los convenios colectivos para el personal laboral y en los acuerdos sobre condiciones de trabajo del personal funcionario en el marco de la negociación colectiva con los requisitos previstos para su eficacia.
• El levantamiento de la prohibición basada en el consentimiento explícito del interesado prevista en el artículo 9.2.a) GDPR, debe analizarse con cautela ante la situación de desequilibrio entre dicho interesado y la Administración Pública responsable del tratamiento. Podría considerarse únicamente si se dispone de una alternativa de libre elección para cumplir el control horario o de presencia y si el consentimiento es informado, inequívoco y demostrable por el responsable del tratamiento.
• El tratamiento deberá cumplir con el resto de principios y obligaciones del GDPR, especialmente el de minimización (artículo 5.1 c) del GDPR) y seguir las directrices y recomendaciones recogidas en el Dictamen 3/2012 Grupo de Trabajo del artículo 29.
• Se realizará antes del tratamiento una EIPD conforme al artículo 35 del GDPR.