La Agencia Española de Protección de Datos (AEPD) ha hecho público el 23 de noviembre su cambio de criterio en relación con el uso de datos biométricos en sistemas de control de presencia, bien como medida de control laboral, bien como medio para cumplimiento de la obligación legal de llevanza del registro de jornada, a través de una guía publicada en su web, a la que se puede acceder desde este enlace.
Hasta ahora la AEPD consideraba que el dato biométrico solamente tenía la consideración de dato especialmente protegido (categoría especial) cuando se utilizaba en procesos de identificación “uno contra muchos”, y no en los casos de autenticación de identidad realizados “uno contra uno”.
A partir de ahora, la AEPD se alinea con el Comité Europeo de Protección de Datos y considera que en ambos casos el dato biométrico (todos: huella, iris, reconocimiento facial…) debe considerarse como dato de categoría especial, ya sea un proceso de identificación (1:N) como de autenticación o verificación (1:1).
Eso supone que para su tratamiento, además de una base de legitimación contemplada en el artículo 6 RGPD, debe poder incardinarse el tratamiento de esos datos en una de las circunstancias enumeradas en el apartado 2 del artículo 9 RGPD, ya que el tratamiento de los datos personales pertenecientes a una categoría especial está prohibido por el apartado 1 del artículo 9, excepto en los casos en los que obedezca a una de las situaciones contempladas en su apartado segundo.
Las circunstancias concurrentes del art. 9.2 RGPD que se podrían alegar para legitimar el tratamiento son las siguientes:
-A) 9.2.b, cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento o del interesado (trabajador/empleado sector público) en el ámbito del derecho laboral y de la seguridad y protección social.
Hasta ahora la AEPD decía “sí” para medida de control laboral (derecho del empresario) y “no” para la llevanza del registro de jornada laboral (obligación del empleador).
A partir de la publicación de la guía de la AEPD, en ambos casos pasamos al NO SE PUEDE.
¿Por qué?
La redacción del artículo 9.2.b) RGPD es la siguiente:
el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
La AEPD afirma (como así hacen también en España la Autoridad Catalana de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía) que no se cuenta en el ordenamiento jurídico español con una norma con rango de ley que concrete la posibilidad de utilizar, y además de forma necesaria, datos biométricos para las finalidades de control de acceso como medida de control laboral y/o para registro de jornada:
… en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo.
Y esto tanto en el marco del Estatuto de los Trabajadores como en el Estatuto Básico del Empleado Público:
La autorización suficientemente específica no se encuentra para el personal laboral, puesto que los artículos 20.3 y 34.9 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, no contienen tal autorización. Tampoco para el personal sometido a una relación jurídica administrativa al no constituirse en necesaria habilitación la previsión relacionada con el cumplimento de jornada y horario a la que alude el art. 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP), aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre
Alerta además la AEPD de que no solo se tiene que habilitar en norma de rango legal su uso, sino que el tratamiento de datos biométricos tiene que ser necesario, es decir, que exista obligación de que ese control de presencia se lleve a cabo mediante el tratamiento de datos biométricos.
¿Han sufrido cambios en su redacción los artículos 20.4 y 34.9 del ET o el 54.2 EBEP? Ninguno. Es un cambio de criterio de la AEPD, donde dije digo, digo Diego, motivado, argumenta, por el posicionamiento del Comité Europeo de Protección de Datos (CEPD) en sus Directrices 5/2022 sobre el uso de reconocimiento facial en el ámbito de las fuerzas de orden público, de 26 de abril de 2023 en su versión definitiva:
La Agencia Española de Protección de Datos publicó en mayo de 2021 la guía “La Protección de Datos en las Relaciones Laborales”, en la que se abordaba en el apartado “Los datos biométricos” del capítulo 4.6 el empleo de biometría en la implementación de los tratamientos de registro de presencia. En el texto se interpretaba la autenticación biométrica fuera de las categorías especiales de datos. Sin embargo, esta interpretación ha sido superada por las Directrices antes citadas, por lo que la interpretación de esta AEPD ha de adaptarse a las Directrices del CEPD mencionadas de 26 de abril de 2023.
Del mismo modo, la interpretación que de estos tipos de tratamientos hacía esta AEPD en su Informe Jurídico 036/2020, basándose, entre otros documentos, en el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29 (GT29), sobre la evolución de las tecnologías biométricas, – publicado en un momento, 2012, en que ni unos ni otros datos biométricos tenían la consideración de categoría especial (sólo a partir de la entrada en vigor del GDPR en 2016)-, ha de considerarse igualmente superada por la nueva posición del CEPD, expuesta en dichas Directrices 05/2022.
La vía del convenio colectivo siempre estaría abierta, pero -a) ¿la empresa tiene convenio colectivo propio y lo contempla?; -b) ¿el convenio colectivo sectorial lo contempla? y -c) con independencia de que se deberían contemplar en el convenio las garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado, volveríamos a tener que salvar el requisito de la necesidad a la que antes he hecho referencia.
-B) 9.2.a: consentimiento del interesado, es decir el trabajador o empleado público.
El tenor literal de ese apartado es el siguiente:
el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
De acuerdo con su definición contenida en el artículo 4.11 RGPD, el consentimiento del interesado» es
toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
La AEPD y, por extensión, el CEPD, entiende que en el contexto de las relaciones laborales se produce de forma general un desequilibrio de poder entre empleado y empleador que hace entender que el consentimiento en ese marco no se preste de forma libre, por lo que debe utilizarse esta base de legitimación con carácter excepcional y siempre acreditando (y esta carga es del responsable del tratamiento) que se ha prestado de forma libre.
¿Y cómo acreditar que el trabajador ha prestado libremente ese consentimiento para el tratamiento de sus datos biométricos para control de presencia? Cuando se ofrezca al trabajador/empleado público que no quiere consentir el tratamiento de sus datos biométricos una alternativa real que no necesite del tratamiento de datos biométricos para llevar a cabo ese control de presencia. Solo en ese caso se considerará que el consentimiento es libre.
Pero la AEPD en su guía dice que como esa alternativa real implica que el control de presencia se puede llevar a cabo sin necesidad de utilizar datos biométricos, el tratamiento de éstos se presenta como no necesario y, en consecuencia, no legítimo, porque de acuerdo con el principio de minimización, art. 5.1.c9 RGPD, para cada tratamiento se utilizaran únicamente los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados:
Sin embargo, y respecto de este requisito de la posible “equivalencia de los tratamientos” hay que tener en cuenta que, si existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar, que permitan que en un momento dado todos los trabajadores opten por otras alternativas, el procesamiento de datos biométricos deja de ser necesario para la implementación del tratamiento.
Al no ser necesario el tratamiento de datos biométricos, no se estaría cumpliendo con lo establecido en el art. 5.1.c del RGPD, y como se explicará más adelante en el capítulo VIII de este documento, al ser un tratamiento de alto riesgo, no cumpliría por tanto el requisito de “necesidad” que le impone el art. 5.1 y 35.7.b. Si el tratamiento es de alto riesgo, además de ser necesario, tiene que demostrarse la evaluación positiva de necesidad (art. 35.7.b del RGPD); que en este caso no se cumpliría, precisamente por esa falta de necesidad.
A tenor de lo expuesto, la AEPD concluye que tampoco el consentimiento permite legitimar el tratamiento de datos biométricos en los controles de presencia.
Por tanto, a resultas del nuevo posicionamiento de la AEPD el sistema de control de presencia que o tenga implantado por la empresa tratando datos biométricos carece de legitimación y deberán buscarse alternativas que no impliquen el tratamiento de esa categoría especial de datos. La AEPD no establece en su guía ningún plazo para la adaptación, por lo que debería procederse a ese cambio cuanto antes mejor, por cuanto la empresa estaría en situación de incumplimiento, en concreto por tratar datos de categoría especial careciendo de base de legitimación y, por tanto, sancionable económicamente a través de la imposición de la correspondiente multa.
