La instalación de un sistema de control de acceso y horario basado en la recogida y el tratamiento de un patrón de la huella dactilar de los empleados comporta el tratamiento de sus datos personales, ya que la huella dactilar es un dato biométrico, y este se define como información personal obtenida a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen su identificación única, por ejemplo, imágenes faciales, del iris, huellas dactilares, etc.
Los datos biométricos son considerados categorías especiales de datos, por lo que solo puede legitimarse su tratamiento amparándose en alguna de las excepciones establecidas en el art. 9.2 GDPR. Las que se pueden aplicar a este tipo de tratamiento son:
Legitimar el tratamiento amparándose en el art. 9.2 a) GDPR
Para legitimar el tratamiento de datos biométricos conforme a la excepción del art. 9.2 a), los empleados deberían prestar el consentimiento mediante una declaración o una clara acción afirmativa, que podría ser firmando una cláusula donde se la facilite toda la información del tratamiento establecida en el art. 13 GDPR. Se debe tener en cuenta que los interesados pueden oponerse al tratamiento en el momento que se facilite la información y se solicite el consentimiento, o posteriormente en cualquier momento. Por lo que, si nos basamos en esta legitimación, al no estar obligados, no aseguraremos que todo el personal facilite sus datos biométricos.
No obstante, en el ámbito laboral, la legitimación del tratamiento a través del consentimiento del trabajador no es lo recomendable, y es que, con carácter general, en el marco de las relaciones laborales existe una situación de desequilibrio de poder entre el empleado y el empleador, y son contadas y escasas las ocasiones en las que los trabajadores pueden prestar su consentimiento de forma libre, tal y como exige el GDPR. Por eso, por lo difícil que puede resultar decirle al jefe que no, la base de legitimación de este tratamiento de datos debería ampararse en la obligación legal del responsable (art. 6.1.c GDPR), tal como exponemos a continuación.
Legitimar el tratamiento amparándose en el art. 9.2 b) GDPR
Para legitimar el tratamiento de datos biométricos conforme a la excepción del art. 9.2 b), el tratamiento podrá amparase en la obligación legal del responsable (art. 6.1.c), del empleador del art. 6.1.f) GDPR, basado en el art. 20.3 del Estatuto de los Trabajadores conforme al cual, el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos.
Este tipo de tratamiento puede entrañar un alto riesgo para los derechos y libertades de los interesados y por este motivo se deben tener en cuenta dos posibilidades para realizar el tratamiento:
1. Tratamiento de datos biométricos llevado a cabo por el responsable
En este caso, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo, teniendo en cuenta las implicaciones del uso de nuevas tecnologías, la observación sistemática de los hábitos de los trabajadores y el tratamiento de datos de una categoría especial (biométricos), sería preciso llevar a cabo una evaluación del impacto relativa a la protección de datos (DPIA) para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos (art. 35 GDPR).
A la vista de las consideraciones descritas, entenderemos como adecuado a la normativa en materia de protección de datos, el tratamiento de los datos biométricos de los trabajadores con la finalidad de control de acceso a su puesto de trabajo siempre que se realice una DPIA.
2. Tratamiento de datos biométricos llevado a cabo directamente por el interesado
En relación con la especial naturaleza que el GDPR confiere a los datos biométricos y la exigencia de una especial atención no sólo a la proporcionalidad, sino a la propia minimización del dato; es decir, que sólo sea objeto de tratamiento en tanto éste resulte completamente imprescindible para el cumplimiento de la finalidad perseguida, se podría usar un sistema donde el dato biométrico permaneciese bajo el control del trabajador y no del responsable, de manera que el sistema solo incorporase el registro horario junto la identificación del trabajador, que estaría certificada por el sistema propio del dispositivo del interesado, por ejemplo, usando la huella dactilar en su teléfono móvil, tal como se usa en ocasiones para acceder a las app de entidades financieras.
En este sentido, la AEPD, tanto en el Informe 0065/2015, como en diversas consultas que se le han planteado al respecto, pone de manifesto lo siguiente:
Información del tratamiento al interesado
En grandes empresas, lo recomendable es comunicar previamente al Comité de empresa o al Representante de los trabajadores, según sea el caso, de la puesta en marcha del sistema a utilizar, informándoles de las ventajas e inconvenientes del mismo y haciéndoles partícipes de la conveniencia de su uso.
En cualquier caso, sería necesario informar a los trabajadores mediante una circular, con los detalles del tratamiento establecidos en el art. 13 GDPR, por los medios habituales de comunicación, para poder demostrar que se ha informado debidamente el tratamiento. Además, si se utilizan sistemas automatizados para tratar estos tipos de datos, se recomienda añadir a la información obligatoria, los detalles y la lógica del procedimiento, como:
Conclusiones
Atendiendo lo dispuesto en el Dictamen CNS 63/2018 de la Autoridad Catalana de Protección de Datos, trasladamos las siguientes conclusiones:
Documentos relacionados
Informe AEPD 0065/2015:
https://www.aepd.es/media/informes-historicos/2015-0065_Control-de-acceso-al-comedor-por-huella-digital.pdf
Dictamen APDCAT CNS 63/2018:
https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2018/Documents/es_cns_2018_063.pdf