ANÁLISIS DE DICTAMEN DEL CTPD A CONSULTA DE UN AYUNTAMIENTO SOBRE LA LICITUD DE UN SISTEMA DE CONTROL HORARIO A TRAVÉS RECONOCIMIENTO FACIAL O HUELLA DACTILAR
Dictamen analizado
En el Dictamen 1/2023 del Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA), el DPO de un Ayuntamiento consulta si es conforme a la normativa de protección de datos del uso de dispositivos de control horario en el puesto de trabajo mediante reconocimiento facial o huella dactilar. El uso de estos dispositivos con el fin de control horario o de presencia comporta llevar a cabo un tratamiento de datos personales, y por tanto está sujeto a los principios y obligaciones del GDPR.
I. Base jurídica (artículo 6.1. GDPR)
El tratamiento pretendido por el Ayuntamiento responde a la necesidad de controlar el horario de su personal.
1. Artículo 6.1.b) GDPR:
En la medida que este tratamiento de datos personales se realiza dentro de una relación jurídica laboral o administrativa, y tiene como finalidad el control por parte de la entidad de las obligaciones y deberes de su personal, en particular, la presencia o cumplimiento de la jornada, sería posible acudir a la base jurídica prevista en el artículo 6.1.b) del GDPR, al ser el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte.
Y conforme a la previsión del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.
2. Artículo 6.1.c) GDPR:
Del mismo modo, el artículo 34.9 del Estatuto de los Trabajadores establece que la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, (…). Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.
En base a este precepto, el tratamiento relativo al control de la presencia o jornada laboral podría también estar legitimado en base al artículo 6.1.c) del GDPR , es decir, cuando el tratamiento es necesario por el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
II. Excepción para el tratamiento de datos biométricos (artículo 9.2 GDPR)
El tratamiento de datos biométricos con el fin de identificar de forma unívoca a una persona física requiere que, además de una base jurídica del artículo 6.1 del GDPR, concurra también alguna de las excepciones previstas en el artículo 9.2 del GDPR, y en este caso solo serían valorables dos de ellas:
1. Artículo 9.2.a) GDPR:
Podría considerarse lícito el tratamiento de datos biométricos en base al consentimiento explícito del interesado, salvo establecimiento expreso contrario a tal sentido por parte de alguna ley.
Eso sí, debe ser previo, libre, específico, informado e inequívoco. Por tanto el consentimiento como base legitimadora requiere una manifestación de voluntad libre, una libre expresión que se asocia a libertad de elección, prestar o no prestar el consentimiento y el control real del interesado, descartando la existencia de algún tipo de coacción. Igualmente, la situación de desequilibrio entre el interesado y las Administraciones Públicas responsable del tratamiento, lleva a la consideración de que el consentimiento no es la base legitimadora en principio más apropiada de tratamiento por las Administraciones Públicas de los datos personales debiendo analizarse con cautela cuando no estuviese al menos previsto por la norma aplicable. Finalmente debe evaluarse si su prestación o no prestación puede depararle al interesado algún tipo de perjuicio o ha de producir algún tipo efecto desfavorable que condicione precisamente la libertad con la que ha de ser emitido.
Trasladado esto al supuesto que nos ocupa, únicamente podría considerarse la existencia de un consentimiento libre si el interesado dispone de una alternativa de libre elección para cumplir con el control horario o de presencia, es decir, han de habilitarse alternativas de modo que pueda atenderse a los interesados sin que se tenga que realizar un tratamiento de sus datos biométricos.
2. artículo 9.2.b) GDPR:
Este apartado del artículo 9.2 legitima el tratamiento de datos biométricos cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que se establezcan garantías adecuadas en lo que respecta al respeto de los derechos fundamentales y los intereses de las personas afectadas y así lo autorice:
Ninguna normativa prevé que se utilicen datos biométricos para controlar la presencia, registro horario o ejecución de la jornada (apartado a.)
A falta de previsión legal (apartado a.), en caso de que el convenio colectivo, el pacto o acuerdo resultante de la negociación colectiva prevea la utilización de datos biométricos a tal fin y establezca garantías adecuadas respecto a los derechos fundamentales y de los intereses de las personas interesadas, este instrumento permitiría concluir la concurrencia de la excepción prevista en el artículo 9.2.b) del GDPR.
III. Principios, obligaciones y recomendaciones en relación con el tratamiento de datos biométricos para el control de presencia
Además de contar con legitimación y licitud para llevarlo a cabo, cualquier tratamiento debe cumplir también el resto de los principios y obligaciones del GDPR y, entre ellos, con el principio de minimización.
En este sentido, el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29, sobre la evolución de las tecnologías biométricas afirmaba lo siguiente en relación con el análisis de la proporcionalidad y del cumplimiento del principio de minimización, previamente a su instalación se debe considerar/ponderar:
Por otra parte, se enumeran una serie de directrices y recomendaciones de conveniente cumplimiento:
IV. Evaluación de impacto
Un tratamiento como el indicado requerirá la realización previa, por parte del responsable del tratamiento, de la evaluación de impacto relativa a la protección de datos establecida en el artículo 35 del GDPR, habida cuenta del cumplimiento de los criterios correspondientes a los números 4, 5 y 10, del documento “Listas de tipos de tratamiento de datos que requieren evaluación de impacto relativa a protección de datos”, hecho público por la AEPD y este Consejo en desarrollo de la previsión contemplada en el apartado cuarto del referido artículo 35.
V. Conclusiones
El uso de dispositivos de reconocimiento facial y/o huella dactilar con la finalidad de un control horario: