Utilización de datos biométricos para el control de acceso y registro de jornada

Artiaga Elordi Artiaga Elordi
18 de diciembre de 2023 Artículo escrito por Gloria Mostazo

El pasado 23 de noviembre de 2023 la Agencia Española de Protección de Datos publicó la Guía sobre Tratamientos de control de presencia mediante sistemas biométricos a través de la cual establece los criterios que deben cumplirse para la utilización de sistemas biométricos en el control de acceso y registro de la jornada laboral. 

La utilización de los sistemas biométricos, como son, el sistema de reconocimiento de huella dactilar o el reconocimiento facial para el registro de la jornada, son considerados por la Agencia Española de Protección de Datos categorías especiales de datos, por lo que su tratamiento es considerado de alto riesgo para los derechos y libertades de las personas físicas cuyos datos se tratan.

Así pues, la Guía establece que en caso de pretender captar datos biométricos será obligatoria, de forma previa al inicio del tratamiento, llevar a cabo la realización de una Evaluación de Impacto para Protección de Datos en la que, entre otros aspectos, es necesario acreditar la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento.

Asimismo, establece un listado de medidas mínimas que deben cumplirse, entre las que se señalan las siguientes:   

  • Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
  • Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
  • Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
  • Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
  • Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
  • Implementar la protección de datos desde el diseño.
  • Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.

Dichos requisitos se establecen puesto que el Reglamento General de Protección de Datos establece (art. 9.1 RGPD) la prohibición del tratamiento de categorías especiales de datos, como los datos biométricos, a menos que concurra alguno de los requisitos previstos en el art. 9.2 del RGPD, entre los que se encuentra: (a) el consentimiento explícito del interesado; o (b) que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado,entre otras.

Si bien, el registro de jornada es una obligación legal impuesta al empresario y al trabajador (art.34.9 ET), la Agencia Española de Protección de Datos considera que la normativa laboral actual no es una base de legitimación suficiente para levantar la prohibición del tratamiento de datos biométricos, en tanto existen opciones alternativas para cumplir con la obligación del registro de la jornada o control de acceso, que no impliquen la recogida de datos biométricos.

Del mismo modo, la Agencia Española de Protección de Datos ha determinado que el consentimiento del interesado tampoco es una circunstancia suficiente para levantar la prohibición del tratamiento de datos biométricos. A tal efecto, la Agencia considera que existe una situación de desequilibrio entre el interesado y el responsable de tratamiento en el ámbito de una relación laboral. Asimismo, entiende que si existen opciones alternativas a los sistemas biométricos para el control de acceso y registro de jornada que sean menos intrusivas en los derechos y libertades de los interesados, tampoco se cumpliría el requisito de “necesidad” exigido para el tratamiento de dichos datos y, por tanto, el procesamiento de datos biométricos no estaría justificado. 

Por todo ello, en caso de no cumplirse los requisitos establecidos y de no superarse podríamos estar incurriendo en una infracción muy grave que podría conllevar sanciones con multas administrativas de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.5 RGPD).

En suma, se desaconseja implantar un control de presencia o de registro de la jornada mediante sistemas biométricos, en caso de existir mecanismos alternativos como el uso de tarjetas, códigos u otro tipo de herramientas informáticas.

Volver al índice

Más artículos sobre…

Otras categorías