fbpx

Abogada del Área de IT, Privacidad y Protección de Datos en ECIJA

Biométrica y Control Laboral: ¿Injerencia o Control lícito?

Tribuna

Sin más pretensiones que exponer la situación actual en la que nos encontramos actualmente y que cambiará en unos días (a peor o mejor, según qué artículo u opinión leamos), me parece interesante plantear una serie de cuestiones derivadas de la lectura del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, y la interpretación  y aplicación de normas vigentes y de aplicación colateral a esta última como son el RGPD y la LOPDgdd.

Como todos ya sabemos, a partir del 12 de mayo (Esto es dos meses después de la publicación en el BOE del RD antedicho el 12 de marzo de 2019) las empresas garantizarán el registro diario de jornada de sus trabajadores.

Si bien el fichaje no es ninguna novedad, hasta ahora este control era llevado en, muchos casos, en empresas donde las jornadas son mas controlables, del tipo trabajo a turnos, la idea del legislativo es que, en orden a luchar contra la precariedad laboral, sea este control el que permita dar valor probatorio a la jornada real de los trabajadores.

Independientemente de que esta medida sea de mayor o menor utilidad, en cuyo fondo no entraré, la duda que me surge en este momento es que, si hoy en día fomentamos el teletrabajo, se trabaja sin una sede física fija, o quien ejerce labores comerciales por las que su trabajo implique un desplazamiento continuo, ¿Cómo llevaremos a cabo este registro o control de jornada?

Una segunda cuestión que podría surgir es ¿Cómo llevar a cabo esta medida sin dejar de lado los derechos fundamentales de la persona, como el derecho a la intimidad?, o ¿Cómo combinarlo con la flexibilidad horaria, la conciliación laboral y familiar?

La respuesta “fácil” a ambas cuestiones podría resumirse en una palabra, PONDERACION.

A raíz de este ultimo cambio normativo, muchas empresas en aras de promocionar las nuevas tecnologías, la modernidad y los valores del S.XXI decidieron en su día, instalar en sus sedes el control de jornada laboral vía huella dactilar. No considero que sea una mala idea, pero tras numerosas recomendaciones de empresas instaladores alegando los grandes beneficios en cuanto a utilidad, funcionalidad y seguridad del sistema, unido a la voluntad empresarial de controlar las horas que trabaja su personal, este sistema podría suponer el resurgir de sentimientos de desconfianza, de control y de constreñimiento de ambas partes, trabajador y empresario, de forma bilateral.

Aparentemente podría resultar antagónico este tipo de control con la jornada flexible, el teletrabajo, o la conciliación laboral, si bien el propio Art. 10. 2 del RD ya dispone que el control de jornada se realizará sin perjuicio de la flexibilidad horaria que se establece en Art. 34 del estatuto de los trabajadores.

Volvamos al control de jornada vía registro de la huella dactilar.

Si bien todos tenemos claro que la huella dactilar es, como tal, un dato biométrico único que identifica a una única persona, y como tal es definido en el Art. 4.14) RGPD como un dato personal obtenido a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

Bajo esta definición quedaría incardinado cualquier sistema de identificación mediante huella dactilar (Sea que el sistema recabe exclusivamente ciertos puntos, parámetros o únicamente las crestas de la huella, ésta es por definición un Dato Personal), por lo que esta categoría especial de datos sería objeto de las directrices contempladas para esta materia por el RGPD.

Resumiendo, los términos de los Considerandos 51 y 52 del RGPD, podemos afirmar que los datos biométricos merecen una especial protección dado que por su propia naturaleza son particularmente sensibles en relación con los derechos y las libertades fundamentales

Si bien el Art. 9.1 RGPD prohíbe de facto el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física, el mismo artículo en su apartado dos da cierta luz a esta prohibición exceptuando los supuestos en los que:

1/ El interesado otorgue su consentimiento explícito.

2/Cuando el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

De acuerdo con los considerandos expuestos del RGPD y las excepciones del Art. 9.2, el tratamiento de datos biométricos será posible siempre y cuando nos encontremos en alguno de los supuestos de este último apartado y cumplamos con las bases jurídicas de la licitud de tratamiento (Art. 6 RGPD)

Ahora bien, ¿Podemos otorgar al consentimiento expreso de un trabajador las características de ser aquel libre e informado? De no ser así, ¿Podemos ampararnos en la necesidad de tratamiento de ese dato por cumplimiento de contrato laboral? Y, por último, ¿Podríamos sino fundamentarnos en el interés legítimo del empresario/a de control la jornada efectivamente realizada por su personal? Tengamos en cuenta de nuevo, LA PONDERACION.

Principios de minimización y proporcionalidad de datos: Si el RGPD surge a raíz, entre otras, de la necesidad de controlar los datos que se recaban las finalidades, que no haya archivos in eternum de datos personales, ya en 2015 la Recomendación CM / Rec (2015) 5 del Comité de Ministros a los Estados miembros en el tratamiento de datos personales en el contexto laboral, establecía que la recopilación y el procesamiento posterior de datos biométricos solo deben realizarse cuando sea necesario para proteger los intereses legítimos de los empresarios, empleados o terceros, solo si no hay otros medios menos intrusivos disponibles y solo si van acompañados de las salvaguardas adecuadas.

Además, la misma RCM determina que el procesamiento de datos biométricos debe basarse en métodos científicamente reconocidos y debe estar sujeto a los requisitos de estricta seguridad y proporcionalidad.

El principio minimización fundamentándose en la necesidad, y el de proporcionalidad fundamentándose en el beneficio resultante de la aplicación de una medida tan invasiva frente al beneficio esperado de control, es de difícil defensa, sino imposible, por cuanto hemos de probar que este sistema d e control es el único que satisface las necesidades de la empresa; es decir, que no hay medios alternativos que causen menor injerencia en la intimidad del trabajador que el control por datos biométricos, y esto actualmente con la existencia de tarjetas de paso, claves u otros medios de gestión sí sería factible (Si bien no identificarían sin lugar a dudas que es esa persona la que esta fichando y no otra-problema de identificación-)

Toda vez hayamos afirmado con rotundidad que podemos tratar los datos por los tres argumentos expuestos, ¿Cómo llevaremos a cabo este control? Art. 88 RGPD, el tratamiento en el ámbito laboral se realizará a través de disposiciones legislativas o de convenios colectivos, u otro tipo normas más específicas con al finalidad de garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo.

A mayor abundancia, no podemos que el Comité de empresa tiene derecho a ser informado y consultado sobre todas las decisiones de la empresa que pudieran provocar cambios relevantes en cuanto a la organización del trabajo y a los contratos de trabajo en la empresa; además, éste tendrá derecho a emitir un informe (Con carácter previo a la ejecución de las medidas) con respecto a dicho tratamiento y a la implantación de las medidas de índole técnica y sistemas que se utilizaran para efectuar dicho control.

Finalizando este análisis y suponiendo que cumplimiento con el articulado y normativa hasta ahora expuesta, procedamos al análisis de sistemas utilizado para la recogida de la huella dactilar. Son varias las recomendaciones que expongo, si pese a todos los avatares, implantamos este sistema, hemos de saber, entre otras cosas, que:

  • La recogida de la huella dactilar ha de implicar un procedimiento de conversión inmediata a un carácter alfanumérico.
  • NO podemos crear bases de datos con huellas dactilares. Es decir, la guarda de estos no versará sobre el bruto, sino sobre el equivalente alfanuméricos de la propia huella. Insisto NUNCA LA HUELLA en si misma.
  • Determinar si la tecnología que utilizaremos será dinámica, estática o multimodal, y las características técnicas de la metodología utilizada.
  • Y por ende y antes de comenzar a usar este sistema de control, es necesario realizar UNA EVALUACION DE IMPACTO atendiendo a la concurrencia de los aspectos tratados a lo largo de este articulo:
  • Licitud/legitimidad
  • Control de los hábitos de los trabajadores (Observación sistemática de conducta)
  • Requerimientos tecnológicos para un correcto funcionamiento de software, garantizando siempre y en todo momento la confidencialidad de los datos, so pena de la posibilidad ante el quebrantamiento de las medidas de seguridad aplicadas, de que pueda darse una suplantación de identidad y todo lo que ello conlleva.

En congruencia con lo expuesto y a modo de resumen, las medidas de control que se basan en la recogida de huellas dactilares han de cumplir con los principios y preceptos de la legislación vigente, además de la normativa laboral al efecto y por supuesto ha de gozar de las medidas de seguridad suficientes para minimizar el riesgo y garantizar siempre y en todo momento la confidencialidad y seguridad de los datos recabados.