La nueva regulación sobre el registro obligatorio de la jornada laboral ha hecho correr ríos de tinta sobre sus efectos en la organización de las empresas, sobre colectivos que quedan excluidos o incluso sobre los «trucos» para evitar registrar las jornadas de trabajo reales. Otra fuente de debate es la relativa a la forma de recogida de los datos; determinados sistemas (vídeovigilancia, datos biométricos, geolocalización…) podrían chocar con el derecho a la intimidad del trabajador y con la normativa sobre protección de datos. Dado el alcance de la norma y, con ánimo de informarles desde una perspectiva más global, dos especialistas en materia laboral y de protección de datos han preparado un artículo sobre el tema, con especial énfasis sobre los datos biométricos.
El domingo, 12 de mayo de 2019, entró en vigor la obligación de tener un registro de horas de los trabajadores a tiempo completo, introducido por el RD Ley 8/2019 de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
Dicho registro horario debe ser objetivo, fiable y accesible y en cuanto a su organización y documentación debe negociarse de conformidad a la buena fe con los representantes legales de los trabajadores. Sin embargo, en caso de desacuerdo o inexistencia de representación sindical, el obligado ha establecer el método de registro, de conformidad con las anteriores características es el empleador.
Ante tales circunstancias, muchos son los empleadores que se han decidido por un sistema de registro de datos biométricos (sean huellas digitales, el iris del ojo, la voz, etc.), debiendo considerarse desde el punto de vista de la protección de datos personales el dato biométrico como dato de carácter personal (art. 4.1 del Reglamento 2016/679, del Parlamento y del Consejo, de 27 de abril, general de protección de datos, en adelante, RGPD) de categoría especial (art. 9.1 RGPD), debiendo aplicarse un régimen específico para su tratamiento que requerirá la concurrencia de una de las bases jurídicas que establece el art. 6 del RGPD y que, además, concurra alguna de las excepciones previstas en el art. 9.2 del mismo cuerpo legal.
Desde el punto de vista del orden social, el art. 20.3 del Estatuto de los trabajadores, prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores, no obstante, dicho artículo, no se refiere en ningún momento a dotar de una autorización para la utilización de categorías especiales de datos, y en concreto, de datos biométricos, con esta finalidad.
El RGPD introduce la base jurídica del tratamiento, prevista en su art. 6.1.b) “que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte”, sino que también es posible, en el caso de sujetos a los que les sea aplicable, acudir a la base jurídica establecida en el artículo 6.1.f) “que el tratamiento sea necesario para satisfacer el interés legítimo del empleador en la correcta ejecución de las prestaciones derivadas del contrato de trabajo”, siendo el elemento clave, la determinación de la necesidad del tratamiento. No ya de la necesidad de hacer algún tipo de control, sino de hacerlo a través de la técnica propuesta, esto es el uso de sistemas de identificación basados en datos biométricos.
En este sentido, es de especial relevancia la letra b) del art. 9.2 del RGPD, según la cual la prohibición general de tratamiento de datos biométricos no será de aplicación cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
Por tanto, para poder aplicar esta excepción será necesaria la concurrencia de dos condiciones:
- Que el tratamiento sea necesario para el cumplimiento de obligaciones o el ejercicio de derechos específicos del empleador o de la persona interesada en el ámbito del derecho laboral o de la seguridad y protección social.
- Que lo autorice el derecho de la Unión o de los Estados miembros o un convenio colectivo, que establezcan garantías adecuadas del respeto de los derechos fundamentales y los intereses de las personas afectadas
La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDGDD), en sus art. 87, 89 y 90 ha previsto y regulado las condiciones y garantías con que puede ejercerse el control de los trabajadores por parte del empresario en cuanto a la utilización de los dispositivos digitales puestos a su disposición por parte del empresario, la utilización de sistemas de videovigilancia en el lugar de trabajo o la utilización de sistemas de geolocalización en el ámbito laboral, pero no contiene ninguna referencia a la posibilidad de utilización de datos biométricos en sistemas de control en el ámbito laboral, como es el caso del control horario.
La falta de previsión expresa de una autorización en el derecho laboral, que requiere el art. 9.2 b) del RGPD hace que surjan dudas relativas a la admisibilidad de este tipo de sistemas de control horario en el ámbito laboral.
Por otra parte, y al margen de esta cuestión relacionada con la exigencia de que la utilización de los datos biométricos esté autorizada por una norma con rango de ley, hay que tener en cuenta que en cualquier caso el tratamiento debe cumplir con el resto de los principios y obligaciones derivados de la normativa de protección de datos, en especial, el principio de minimización (art. 5.1.c) del RGPD), que obliga a escoger aquella tecnología que resulte menos intrusiva desde el punto de vista de la protección de datos. El principio de minimización no se manifiesta sólo a la hora de optar por alternativas que no impliquen el tratamiento de datos personales, o de llevar a cabo el tratamiento de datos de manera que se empleen los datos mínimos indispensables, sino que también ha de comportar que, si se puede alcanzar una determinada finalidad sin tener que tratar datos de categorías especiales, esta opción debe prevalecer frente a otras opciones que sí impliquen el tratamiento de estos tipos de datos. Dada la especial naturaleza de los datos biométricos parece que habrá que optar en primer lugar por otros sistemas de control que, sin utilizar categorías de datos especialmente protegidos, puedan permitir alcanzar el mismo fin.
Hay que tener en cuenta que los datos biométricos, dado su carácter personal y único, constituyen un medio fiable de identificación (aunque en determinados datos biométricos pueda existir un riesgo de no identificabilidad). No obstante, la fiabilidad como sistema de identificación está condicionada también por la amplitud con que se puedan utilizar estos sistemas de identificación. Cuanto mayor sea el número de sistemas de identificación que se basan en unos datos biométricos o en una plantilla obtenida a partir de datos biométricos, mayor es el riesgo de que este dato pueda acabar siendo utilizado de manera inadecuada y dando lugar a un riesgo de usurpación o suplantación de identidad. Este riesgo se puede incrementar claramente en función de cuál sea la tecnología empleada y del tratamiento que se dé a los datos biométricos en bruto u originales. Por un lado, una pérdida de confidencialidad de estos datos podría permitir, en función de la tecnología utilizada, la suplantación. Pero es que, además, estos datos no son modificables. Es decir, a diferencia de una contraseña, en caso de pérdida no se pueden cambiar. De otra parte, también existen riesgos evidentes si la tecnología empleada no garantiza de manera suficiente que la plantilla obtenida a partir de los datos biométricos no coincidirá con la empleada en otros sistemas similares. Es innegable que la utilización de sistemas basados en datos biométricos para llevar a cabo el control horario evita el riesgo de suplantación que se puede producir en algún caso. Ahora bien, no parece que sea el único sistema que permita garantizarlo. Por ejemplo, a efectos del control horario, la utilización de tarjetas personales u otros tipos de objetos (token) en un sistema de marcaje, la utilización de códigos personales, la visualización directa del punto de marcado o la utilización de sistemas de videovigilancia donde quede constancia de la hora de entrada o salida pueden constituir, por sí mismos o en combinación con alguno de los otros sistemas disponibles, medidas eficaces para llevar a cabo el control. En virtud de estas consideraciones algunas autoridades de control en materia de protección de datos no han admitido la utilización de sistemas de control basados en datos biométricos como sistema generalizado de control horario de los trabajadores por parte del empresario. Sería el caso de la Commission Nationale de la informatique et des Libertés (CNIL) de Francia, del Garante para la protezione dei date personali de Italia o la Autoritat Catalana de Protecció de Dades aquí en Cataluña.
En cualquier caso, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo, teniendo en cuenta las implicaciones tecnológicas de la tecnología empleada, la observación sistemática de los hábitos de los trabajadores y el tratamiento de datos de una categoría especial (biométricos), habría que llevar a cabo una evaluación del impacto relativa a la protección de datos de carácter personal para evaluar tanto la legitimidad del tratamiento y su proporcionalidad, como la determinación de los riesgos existentes y las medidas para mitigarlos (art. 35 del RGPD).
Conclusión
Desde un punto de vista prudente, entendemos que la inclusión de los datos biométricos, entre ellas las de la huella dactilar, entre las categorías especiales de datos previstas por el RGPD no permite concluir de manera automática que la implantación de un sistema de control horario basado en la recogida de este tipo de datos pueda considerarse proporcionado y, por tanto, conforme con el principio de minimización, de forma generalizada y para todo tipo o tamaño de empresa. Hay que hacer una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en que se lleve a cabo el tratamiento para determinar su legitimidad y la proporcionalidad, incluido el análisis de la existencia de alternativas menos intrusivas, y establecer las garantías adecuadas.
Vistas las circunstancias anteriores, desde Pich-Bnfix les recomendamos que antes de implantar un sistema de registro horario con datos biométricos consulte a su técnico de protección de datos, no vaya a ser que por cumplir con una obligación legal como el registro horario, implique incumplimientos e infracciones de utilización indebida de datos que puedan suponer infracciones mayores a las establecidas en la normativa laboral.
Pere Alonso y Joaquim Altafaja
Abogado · Área legal y Consultor Especializado en Protección de datos · Área Informática
BNFIX PICH tax · legal · audit