La Agencia Española de Protección de Datos (AEPD) en su “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” publicada en noviembre del 2023, establece la legitimación para el tratamiento de datos biométricos en los controles de presencia y su uso como medida de control empresarial (artículo 20.4 del ET) y para cumplimiento de la obligación de llevanza del registro de jornada (artículo 34.9 ET)

Los sistemas de procesamiento de datos biométricos se basan en recoger y procesar datos personales relativos a las características físicas, fisiológicas o conductuales de las personas físicas, entre las que cabe incluir, como se ha puesto de manifiesto recientemente, las características neuronales de estas, mediante dispositivos o sensores, creando plantillas biométricas (también denominadas firmas o patrones) que posibilitan la identificación, seguimiento o perfilado de dichas personas.

El considerando 51 del Reglamento europeo de protección de datos 2016/679 (RGPD) con relación a los datos biométricos, dice que el tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física es decir (huella dactilar, iris, reconocimiento facial…) eso sí, si a esa fotografía se le realiza un tratamiento adicional puede llegar a ser un tratamiento de categorías especiales de datos.

En esta guía, la AEPD se ajusta con el Comité Europeo de Protección de Datos y considera que en ambos casos el dato biométrico debe considerarse como dato de categoría especial, ya sea un proceso de identificación como de autenticación o verificación.

El artículo 9.1 del RGPD sobre el tratamiento de categorías especiales de datos personales indica que: Quedan prohibidos el tratamiento de datos personales entre otros los datos biométricos dirigidos a identificar de manera unívoca a una persona física. Únicamente cabe excepcionar la prohibición de tratamiento de los datos de categoría especial cuando concurra alguna de las circunstancias que se especifican en el apartado 2 del artículo 9 del RGPD.

La redacción del artículo 9.2.b) RGPD es la siguiente:

El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

La AEPD indica que no se cuenta en el ordenamiento jurídico español con una norma con rango de ley que concrete la posibilidad de utilizar, y además de forma necesaria, datos biométricos para las finalidades de control de acceso como medida de control laboral y/o para registro de jornada.

En el caso del consentimiento del trabajador la redacción del artículo 9.2.a del RGPD es la siguiente:

el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

De acuerdo con la definición contenida en el artículo 4.11 RGPD, el consentimiento del interesado» es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen; En este caso trabajadores y empleados públicos.

La AEPD entiende que en el contexto de las relaciones laborales se produce de forma general un desequilibrio de poder entre empleado y empleador que hace entender que el consentimiento en ese marco no se preste de forma libre, por lo que debe utilizarse esta base de legitimación con carácter excepcional y siempre acreditando (y esta carga es del responsable del tratamiento) que se ha prestado de forma libre.

Las conclusiones de la Agencia en esta guía se indican a continuación:

Con relación al tratamiento de control de presencia mediante técnicas biométricas de identificación o autenticación, los responsables del tratamiento han de tener en cuenta que:

La utilización de tecnologías biométricas de identificación y autenticación en el control de presencia supone un tratamiento de alto riesgo que incluye categorías especiales de datos.

En la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales.

Es necesario que exista una circunstancia para levantar la prohibición de tratar las categorías especiales de datos y, además, una condición que legitime el tratamiento.

En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española.

En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento.

Para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición según el art.9.2 del RGPD. El consentimiento tampoco lo podrá ser, al resultar un tratamiento de alto riesgo, y que tendría que superar el requisito de necesidad establecido para dichos tratamientos.

Cualquier utilización de los datos biométricos con finalidades adicionales a la de control de presencia deberá tener sus propias circunstancias de levantamiento de la prohibición y de condiciones que lo legitimen.

En el tratamiento de control de presencia, no se pueden tomar decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar basadas en el proceso biométrico, si no se cumple la circunstancia de un interés público esencial basado en una norma con rango de ley, proporcional al objetivo perseguido, que respete en lo esencial el derecho a la protección de datos y estableciendo medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En el caso de que el sistema biométrico se implemente con técnicas de inteligencia artificial, para poder incluirlos en un tratamiento se deberán tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial.

En cualquier caso, será obligatoria la superación favorable, previamente al inicio del tratamiento, de una Evaluación de Impacto para la Protección de Datos en la que, entre otros, se encuentre documentada la acreditación de la superación del triple análisis de idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos.

Superados todos los requisitos de cumplimiento de los principios generales del RGPD, en la implementación práctica del tratamiento de control de presencia con técnicas biométricas de identificación o autenticación, deben implementarse garantías organizativas, técnicas y jurídicas. En particular, al menos han de estar presentes las siguientes medidas por defecto:

Informar a los trabajadores, o personas si no se está en un entorno laboral, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.

Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.

Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.

Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.

Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.

Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.

Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no ha posibilidad de revelar categorías especiales de datos adicionales.

En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el artículo 91 de la LOPDGDD.

 Entre las medidas recomendables para minimizar el riesgo se encuentran:

La utilización de tecnologías biométricas debería basarse en utilizar dispositivos bajo el control exclusivo de los usuarios.

Es recomendable que la toma de los datos se realice de forma consciente por el individuo, e incluso con la exigencia de una acción positiva para iniciar el procesamiento de datos biométricos

Preferentemente no debería emplearse un almacenamiento centralizado de las plantillas biométricas.

Deberían implementarse mecanismos automatizados de supresión de datos.

Finalmente, todas las acciones y las medidas implementadas se revisarán y actualizarán cuando sea necesario.