¿Es posible el uso de dispositivos de control de reconocimiento facial para el registro diario de la jornada laboral de los trabajadores?
En 2019 se estableció en España la obligatoriedad de registrar la jornada laboral de los trabajadores mediante sistemas de fichaje y que estos fichajes deben conservarse por la empresa por un período de 4 años. Esta nueva necesidad ha abierto la puerta en los últimos años al uso de dispositivos de control biométricos y de reconocimiento facial a la vez que ha avivado la polémica sobre si su uso puede vulnerar derechos y libertades fundamentales.
El pasado 2 de febrero de 2022, la Autoridad Catalana de Protección de Datos dio respuesta a la consulta de un Ayuntamiento relativa a la conformidad en la normativa del empleo de dispositivos de reconocimiento facial para el control de presencia en el lugar de trabajo.
Dicho Ayuntamiento solicitaba conocer los requisitos legales para poder usar cámaras de reconocimiento facial como control de presencia de sus trabajadores. Su objetivo era poder sustituir su actual sistema de control de huellas dactilares debido a las recomendaciones sanitarias de la Covid-19 y, asimismo, poder disponer de una herramienta que centralizará todos los datos de los diferentes centros de trabajo en un solo servidor.
¿Qué dice el Reglamento General de Protección de Datos?
La utilización de dispositivos de control mediante el reconocimiento facial comporta un tratamiento de datos personales especiales al ser datos biométricos, que son aquellos que están estrechamente relacionados con los derechos y libertades fundamentales de las personas (recogidos en el artículo 9 del RGPD). Eso significa que merecen un tratamiento especial.
Para que el tratamiento de los datos registrados sea lícito es necesario cumplir con alguna de las bases jurídicas del artículo 6.1 RGPD y en la medida que sea un dato de categoría especial también debe concurrir una de las excepciones del artículo 9.2 RGPD.
Obligación de registrar la jornada laboral
El Ayuntamiento que inició la consulta alegaba como objetivo basar tal tratamiento de datos personales en su obligación contractual de llevar un registro de la jornada laboral de cada persona trabajadora. De ese modo cumplía así con artículo 6.1 RGPD donde se expone que el tratamiento de datos será lícito si este es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
En este caso, la obligación legal se basa en el artículo 34.9 del Estatuto de los Trabajadores respecto a la exigencia de recoger las horas de inicio y finalización de la jornada efectiva de los trabajadores. Y en el artículo 20.3 ET “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”.
Sin embargo, en el presente caso y como hemos comentado, estaríamos tratando datos de categorías especiales y para ello no es suficiente la base legitimadora del artículo 34.9 ET. Es necesario que este tratamiento haya estado autorizado por el Derecho de la Unión de los Estados miembros o por un convenio colectivo con arreglo al Derecho de los Estados miembros.
Entonces… ¿Hay base legitimadora para tratar categorías especiales de datos?
La respuesta es no. El Estatuto de los Trabajadores prevé la posibilidad que el empresario adopte medidas de vigilancia y control para el cumplimiento de la jornada laboral, no obstante, la normativa no determina el mecanismo para tal registro y, por ende, no concreta la posibilidad de utilizar datos biométricos.
La Sentencia del Tribunal Constitucional 76/2019 del 22 de mayo determinaba que la normativa empleada como base legitimadora debería no solo concretar el uso de datos de categorías especiales, sino las garantías adecuadas para tratarlos. En todo caso, sería necesario contar con un convenio colectivo o un acuerdo de negociación colectiva que concretara el uso de estos sistemas de control y estableciera unas garantías eficaces.
¿Y con el consentimiento de los trabajadores?
La respuesta vuelve a ser no. Debemos tener en cuenta que se considera consentimiento “toda manifestación de voluntad libre, específica, informa e inequívoca” y en el caso de datos de categorías especiales, tal consentimiento debe ser explícito (art. 9.2.a RGPD). En el presente caso:
-
- No es un consentimiento libre debido a qué se plantea como la única vía para el control de la jornada.
- Hay un desequilibrio de poder dada la relación entre el empleador y empleado y el sujeto se puede sentir obligado a dar su consentimiento.
En definitiva, actualmente hay una base legitimadora para tratar datos personales por parte del Ayuntamiento, pero no la hay para tratar datos de categorías especiales. Para tratar estos últimos datos debería haber una norma en un convenio colectivo que lo permitiera. De todas formas, es necesario analizar la proporcionalidad al utilizar un sistema biométrico respeto a la perdida de la intimidad y riesgo que comportaría el uso inadecuado de estos o la perdida de confidencialidad. Por este motivo sería necesario realizar una evaluación de impacto dónde se valorará la legitimidad del tratamiento, la proporcionalidad, los riesgos existentes y las medidas de seguridad (art. 35 RGPD).
Debido al carácter especial y único de estos datos sería conveniente usar otros mecanismos menos intrusivos que no usen datos biométricos y puedan satisfacer las mismas necesidades.
Son muchas las empresas que presentan dudas sobre el tratamiento de datos personales, por ello y para garantizar el cumplimiento de la LOPD es necesario contar con un Delegado de Protección de Datos ya que, en caso de incumplimiento, la Agencia Española de Protección de Datos pueden retener los datos registrados e interponer multas de elevadas cantidades.
Sobre el autor:
DiG Abogados
Asesora Protección de Datos