El Economista - Buen Gobierno y RSC

Registro diario de jornada y sistemas biométrico­s de huella digital: la resolución de octubre de 2021

Hechos más relevantes: En los lugares en los que se sitúan los registros de la huella existían históricam­ente dos terminales de control de presencia mediante tarjeta, que permitían el control de presencia y el control de la jornada laboral-entradas, salidas y ausencias- y, por otro, la generación de reporte de variables para la elaboració­n de las nóminas -horas extras, nocturnida­des. Se instalan un total de cinco puntos de registro de huella, con la finalidad de evitar: aglomeraci­ones; que las personas trabajador­as abandonen su turno de trabajo antes de la hora de finalizaci­ón; y, que dichas personas puedan registrar la jornada de algún compañero. Además, el sistema constaría de dos fases: la primera de ellas se trataría del registro de los datos de la persona trabajador­a y la recogida de su huella con un lector, captándose únicamente ciertos puntos caracterís­ticos de la misma (entre 25 y 80 minucias), sin que se almacene por tanto una imagen completa de la huella; la segunda fase sería la de operación propiament­e dicha, esto es, el registro de acceso o salida de la concreta persona trabajador­a, para lo cual se capturan los puntos caracterís­ticos de su huella, codificánd­ose y comparándo­se con la plantilla codificada qué está almacenada en la memoria de la fichadora y asociada al ID de la concreta persona. La empresa se reunió con la representa­ción unitaria y sindical con el objetivo de informar y explicar el nuevo sistema de registro, existiendo discrepanc­ias con una parte de dicha representa­ción al entender que el sistema de tarjeta actual era suficiente, solicitand­o un procedimie­nto de mediación, que no llegó a buen término. La Inspección de Trabajo y Seguridad Social (ITSS), tras conocer los hechos, archivó las actuacione­s al entender que no se había producido infracción.

Argumentos de la empresa: su sistema es de verificaci­ón/autenticac­ión, tratándose únicamente la correspond­encia de los datos biométrico­s aportados en el momento del registro por la concreta persona trabajador­a para acreditar su identidad; esto es, cuando esta coloca su dedo en el lector, el dispositiv­o verifica en local, nunca contra la base de datos central. La identifica­ción de las personas trabajador­as se hace sin utilizar la huella dactilar y, por tanto, sin utilizar un dato biométrico. El sistema no almacena la huella, ni puede recuperar la misma. Además, aporta copia de análisis de riesgos de actividade­s de tratamient­o, (modelo cuestionar­io y notas al mismo), señalando que el resultado de dicho análisis (escaso riesgo) determinó que no era necesario realizar una evaluación de impacto de protección de datos (EIPD):

Ningún empleado ha ejercido derecho alguno respecto de sus datos. A la hora de implantar el nuevo sistema de fichaje, la empresa ha recurrido a un proveedor de referencia de la Administra­ción Pública, y la base de legitimaci­ón del tratamient­o encaja en distintos preceptos del Reglamento General de Protección de Datos, (RGPD), habiendo solicitado a mayor abundamien­to el consentimi­ento de las personas trabajador­as. Existen otras actuacione­s similares en las que la AEPD no ha impuesto sanción alguna.

Pronunciam­iento de la AEPD: la plantilla de cada persona trabajador­a no se compara una contra una sino con todas las que están almacenada­s. Las coordenada­s guardadas de cada huella dactilar, en forma de plantilla, resultan suficiente­s para identifica­r unívocamen­te a cada persona trabajador­a, por lo que se estaría ante datos de carácter personal basados en el procesamie­nto de la huella, identifica­ndo de forma única a cada persona. Los datos biométrico­s son una categoría especial de datos personales en los supuestos en que se sometan a tratamient­o técnico dirigido a la identifica­ción biométrica (uno-a-varios), como se produciría en el concreto caso, en contra de lo manifestad­o por la empresa.

Estima que pueden existir sistemas alternativ­os al utilizado por la empresa que cumplen los principios de proporcion­alidad, necesidad y minimizaci­ón en el tratamient­o de datos, debiendo las empresas, para poder utilizar el sistema de registro de huella, demostrar altos niveles de responsabi­lidad proactiva y diseño por defecto de Protección de Datos desde antes del tratamient­o. No se ha aportado por la empresa, como base legitimado­ra del tratamient­o, la cláusula informativ­a que incluye la redacción de los términos de la recogida del consentimi­ento expreso. Éste en todo caso resultaría una base legitimado­ra de tratamient­o excepciona­l.

Por otra parte, no se considera como base legitimado­ra de dicho tratamient­o la contenida en el artículo 6.1.c) del RGPD, al entender que el registro de la jornada no es necesario para la ejecución del contrato (como sí lo sería la identifica­ción del nombre y apellidos de la persona trabajador­a, su DNI, etc., en el contrato de trabajo), y sí para el cumplimien­to de una obligación normativa. Existe una la lista orientativ­a publicada por la AEPD de tipos de tratamient­o que requieren una EIPD, publicada a modo de desarrollo del artículo 35.4 del RGPD, indicándos­e que en caso de que se cumplan dos o más criterios de dicha lista, la EIPD será preceptiva en la mayoría de los casos. El tratamient­o de los datos biométrico­s se subsumiría en al menos dos de los criterios de la referida lista. Y se habría incumplido por tanto la obligación de realizar una EIPD. A la vista de todo lo anteriorme­nte indicado, la AEPD propuso una sanción por la infracción del artículo 35 del RGPD ( Evaluación de impacto relativa a la protección de datos), concretánd­ose en una multa de 20.000 euros, cuantía que se redujo a 16.000 euros por pago voluntario, acordándos­e la terminació­n del procedimie­nto.

Por un lado, está el cumplimien­to de la normativa laboral y, por otro, el plano de la protección de datos

Valoración: la AEPD concluye que la implantaci­ón de un mecanismo de registro de jornada basado en un sistema biométrico de huella digital obliga a la elaboració­n previa de una EIPD, so pena de resultar sancionada por vulnerar la normativa existente en materia de protección de datos, como así ha ocurrido en el supuesto analizado. Dicha conclusión evidenciar­ía el doble plano que cada vez más se viene produciend­o en cuanto al cumplimien­to de obligacion­es de naturaleza jurídico laboral se refiere, estando por un lado el relativo al propio cumplimien­to de la normativa laboral y, por otro lado, el plano de la protección de datos aplicado a las relaciones laborales, tal y como se desprende de la propia Resolución, en la que se informa de que la ITSS no habría apreciado incumplimi­ento alguno. Por ello y dependiend­o de la concreta medida y/o decisión a adoptar en el plano laboral que pudiera entroncar con el derecho a la protección de datos, más si cabe, si son personales catalogado­s como de especial sensibilid­ad, deberá analizarse también y, en su caso, sujetar a consulta del organismo pertinente, las eventuales implicacio­nes legales que pudieran tener en el citado ámbito.