APDCAT: Reconocimiento facial en el registro de la jornada laboral
ANÁLISIS DE DICTAMEN DE LA APDCAT SOBRE UNA CONSULTA DE UN AYUNTAMIENTO SOBRE LA LICITUD DE UN SISTEMA DE REGISTRO HORARIO A TRAVÉS DE RECONOCIMIENTO FACIAL
Dictamen analizado
En el Dictamen CNS 2/2022 de la Autoridad Catalana de Protección de Datos (APDCAT), un Ayuntamiento consulta si es conforme a la normativa de protección de datos del uso de dispositivos de control de presencia en el puesto de trabajo mediante reconocimiento facial.
El uso de estos dispositivos con el fin de control horario o de presencia mediante el reconocimiento facial comporta llevar a cabo un tratamiento de datos personales, y por tanto sujeto a los principios y obligaciones del GDPR.
Además, al tratarse de datos biométricos, es decir, de un tratamiento de datos personales a partir de mecanismos automatizados con el objetivo de confirmar la identificación única de una persona a partir de datos biométricos, como la imagen facial, está también sujeto a las previsiones del artículo 9 del GDPR.
- Documento original: https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2022/Documents/ca_cns_2022_002.pdf
I. Base jurídica (artículo 6.1. GDPR)
El tratamiento pretendido por el Ayuntamiento responde a la necesidad de controlar la presencia del personal a su servicio en el puesto de trabajo.
1. Artículo 6.1.b) GDPR:
En la medida que este tratamiento de datos personales se realiza dentro de una relación jurídica laboral o administrativa, y tiene como finalidad el control por parte de la entidad de las obligaciones y deberes de su personal, en particular, la presencia o cumplimiento de la jornada, sería posible acudir a la base jurídica prevista en el artículo 6.1.b) del GDPR, al ser el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte.
Y conforme a la previsión del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por la persona trabajadora de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad.
2. Artículo 6.1.c) GDPR:
Del mismo modo, el artículo 34.9 del Estatuto de los Trabajadores establece que la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, (…). Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada.
En base a este precepto, el tratamiento relativo al control de la presencia o jornada laboral podría también estar legitimado en base al artículo 6.1.c) del GDPR , es decir, cuando el tratamiento es necesario por el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
II. Excepción para el tratamiento de datos biométricos (artículo 9.2 GDPR)
El tratamiento de datos biométricos con el fin de identificar de forma unívoca a una persona física requiere que, además de una base jurídica del artículo 6.1 del GDPR, concurra también alguna de las excepciones previstas en el artículo 9.2 del GDPR, y en este caso solo serían valorables dos de ellas:
1. Artículo 9.2.a) GDPR:
En base, entre otras cuestiones, a las expuestas en las Directrices 5/2020 del EDPB/CEPD, no es la base jurídica del consentimiento la más adecuada para legitimar el tratamiento de los datos del personal con el fin del control horario, dado que no puede considerarse que pudiera existir un consentimiento realmente libre. En este sentido, podría considerarse que existe consentimiento libre si el interesado dispone de una alternativa para cumplir con el control horario o controlar su presencia, siendo el mismo quien elige y presta su consentimiento al tratamiento de sus datos biométricos a través de sistemas de reconocimiento facial.
2. artículo 9.2.b) GDPR:
Este apartado del artículo 9.2 legitima el tratamiento de datos biométricos cuando es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que se establezcan garantías adecuadas en lo que respecta al respeto de los derechos fundamentales y los intereses de las personas afectadas y así lo autorice:
- El derecho de la Unión o de los Estados miembros, o
- Un convenio colectivo con arreglo al Derecho de los Estados miembros.
Ninguna normativa prevé que se utilicen datos biométricos para controlar la presencia, registro horario o ejecución de la jornada (apartado a.)
A falta de previsión legal (apartado a.), en caso de que el convenio colectivo, el pacto o acuerdo resultante de la negociación colectiva prevea la utilización de datos biométricos a tal fin y establezca garantías adecuadas respecto a los derechos fundamentales y de los intereses de las personas interesadas, este instrumento permitiría concluir la concurrencia de la excepción prevista en el artículo 9.2.b) del GDPR.
III. Minimización de datos (artículo 5.1.c GDPR)
Además de contar con legitimación y licitud para llevarlo a cabo, cualquier tratamiento debe cumplir también el resto de los principios y obligaciones del GDPR y, entre ellos, con el principio de minimización.
En este sentido, el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29, sobre la evolución de las tecnologías biométricas afirmaba lo siguiente en relación con el análisis de la proporcionalidad y del cumplimiento del principio de minimización, previamente a su instalación se debe considerar/ponderar:
- Si el sistema es necesario para responder a la necesidad identificada, y no sólo lo más adecuado o rentable.
- La probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar.
- Si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada.
- Si un sistema menos invasivo de la intimidad alcanzaría el mismo fin deseado.
Por tanto, es necesario la instalación de sistemas de control del cumplimiento horario, pero, no parece tan claro que la utilización de sistemas basados en datos biométricos deba ser admitidos como medio preferente para llevarlo a cabo. Y dada la especial naturaleza de estos datos habrá que optar, en primer lugar, por otros sistemas de control que, sin utilizar categorías especiales de datos, puedan permitir alcanzar la misma finalidad.
Las exigencias derivadas de la protección de datos en el diseño (art. 25.1 RGPD) y, en especial, del principio de minimización, obligan a elegir la tecnología que resulte menos intrusiva desde el punto de vista de la protección de datos. El principio de minimización no se manifiesta sólo a la hora de optar por alternativas que no impliquen el tratamiento de datos personales, o de llevar a cabo el tratamiento de datos de forma que se empleen los datos mínimos indispensables, sino que también comporta que, si se puede alcanzar una determinada finalidad sin tener que tratar datos de categorías especiales, esta opción debe prevalecer ante otras opciones que sí impliquen el tratamiento de este tipo de datos.
IV. Riesgos de este tipo de tratamientos y medidas para mitigarlos
Hay que tener en cuenta que los datos biométricos, dado su carácter personal y único, constituyen un medio fiable de identificación (aunque en determinados datos biométricos puede existir un riesgo de no identificabilidad), pero está condicionada también por la amplitud con la que se puedan utilizar estos sistemas de identificación.
Cuanto mayor sea el número de sistemas de identificación que se basan en unos datos biométricos o en una plantilla obtenida a partir de datos biométricos, mayor es el riesgo de que este dato pueda acabar siendo utilizado de forma inadecuada y dando lugar a un riesgo de usurpación o suplantación de identidad. Este riesgo puede incrementarse claramente en función de cuál sea la tecnología empleada y del tratamiento que se dé a los datos biométricos en bruto u originales.
Por una parte, una pérdida de confidencialidad de estos datos podría permitir, en función de la tecnología utilizada, la suplantación. Sin embargo, es que, además, estos datos no son modificables. Es decir, a diferencia de una contraseña, en caso de pérdida no pueden cambiarse.
Por otra parte, también existen riesgos evidentes si la tecnología utilizada no garantiza de forma suficiente que la plantilla obtenida a partir de los datos biométricos no coincidirá con la empleada en otros sistemas similares.
A efectos de determinar los riesgos existentes y las medidas para mitigarlos, pueden ser de ayuda las Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo del CEPD, en particular el apartado 5.2 relativo a las medidas sugeridas para minimizar los riesgos.
V. Alternativas
Está claro que estos sistemas evitan el riesgo de suplantación que puede producirse en algún caso, pero no parece ser el único sistema que permita garantizarlo. Por ejemplo, a efectos del control horario, la utilización de tarjetas personales u otros tipos de objetos (token) en un sistema de marcado, la utilización de códigos personales, la visualización directa del punto de marcado o la utilización de sistemas de videovigilancia donde quede constancia de la hora de entrada o salida pueden constituir, por sí mismos o en combinación con alguno de los demás sistemas disponibles también serían sistemas eficaces para llevar a cabo el control.
En cuanto a la referencia a que uno de los motivos de instalación de estos sistemas es seguir las recomendaciones sanitarias con respecto a la Covid-19 para prevenir posibles contagios sustituyendo al sistema de control por huella dactilar (como, la Orden SND/388/2020; la Orden SND/399/2020, la Orden SND/458 /2020).
En primer lugar, estas recomendaciones en ningún caso pueden constituir una excepción para el tratamiento de categorías especiales de datos a los efectos previstos en el artículo 9.2.b). Pero más allá de esto, existen otras alternativas posibles de aplicación sencilla, sin tener que cambiar el sistema de control, como desinfectar el dispositivo de marcado antes y después de cada uso, o bien que el trabajador disponga de un expendedor de hielo antiséptico cerca del sistema de marcado para ser usado una vez realizado el fichaje con el dedo, tanto de entrada como de salida. Por tanto, la sustitución del sistema de marcación no parece que deba ser la única opción.
VI. Evaluación de impacto
Por último, hay que recordar que, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo, hay que tener en cuenta que el artículo 35 del GDPR que establece la necesidad de realizar una evaluación del impacto relativa a la protección de datos (EIPD) en aquellos tratamientos, especialmente si utilizan nuevas tecnologías, que comporten un alto riesgo por los derechos y libertades de las personas. A estos efectos, y de acuerdo con el artículo 35.4 del GDPR, esta Autoridad ha publicado una Lista de tipos de tratamientos de datos que requieren EIPD en la que se determina que será necesario realizarla en la mayoría de los casos en que el tratamiento cumpla con dos o más criterios de la lista. Entre estos criterios, pueden concurrir en caso de que se analiza los siguientes:
- Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de modo único a una persona física.
- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otros, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo por los derechos y libertades de las personas.
En consecuencia, será necesario realizar una EIPD.
Conclusiones
- El consentimiento del personal no puede considerarse legitimación adecuada para la implantación de un sistema de control horario mediante datos biométricos, y en el caso que se pretenda utilizar para salvar la prohibición de tratar este tipo de datos, podría considerarse que existe consentimiento libre si el interesado dispone de una alternativa para cumplir con el control horario.
- Otra posibilidad que legitimaría este tratamiento sería la previsión de este sistema de control con datos biométricos en una disposición legal o en un convenio colectivo aplicable, o en su caso, en un pacto o acuerdo resultado de la negociación colectiva.
- En cualquier caso, antes de la implantación de un sistema de este tipo, es necesario realizar una EIPD incluyendo análisis de la proporcionalidad y de la existencia de alternativas menos intrusivas.