Como ya comunicamos el pasado 04 de diciembre, la Agencia de Protección de Datos publicó una nueva Guía sobre la utilización de datos biométricos para el control de presencia mediante sistemas Biométricos en la que restringe casi en su totalidad el uso de este tipo de datos para el Registro de Jornada Laboral.
Como más de un mes después, este tema sigue suscitando muchas dudas, consideramos conveniente explicar y pautar en el procedimiento a seguir por aquellas farmacias y empresas que tuvieran instalado este tipo de sistemas.
Los sistemas biométricos y el tratamiento de los datos que se pueden obtener a partir de ellos están evolucionando muy rápidamente debido a las nuevas tecnologías y sobre todo a la Inteligencia Artificial (IA), ya que aumentan el detalle de la información que se recoge, e incluso permiten la posibilidad de almacenar información sin que, en la mayoría de ocasiones, la persona (interesado, trabajador en este caso) sea consciente de ello. La IA contribuye a que los datos recogidos puedan utilizarse para proporcionar información adicional sobre las personas que son altamente sensibles o de categoría especial, como datos de salud (presión arterial, temperatura corporal, número de latidos, etc.), racial o étnico.
Los sistemas de registro de datos biométricos (que no son sólo huella digital, sino también, de iris, etc.) recogen y procesan estos datos, por lo que deben garantizar el cumplimiento de los principios, derechos y obligaciones regulados en el RGPD, así como de otras normativas que incidan en estos sistemas, además de proteger los derechos fundamentales y libertades de las personas.
El tratamiento de datos de categoría especial está prohibido como regla general por el RGPD, pudiendo tratarse sólo si se da algunas de las excepciones que el propio RGPD prevé al efecto.
En el marco de esas excepciones, no podemos encajar el tratamiento de datos biométricos con la finalidad de cumplir el registro de jornada laboral, aun así, desarrollamos a continuación las que hasta el momento planteaban más dudas:
- Existencia de una norma de rango legal: actualmente no existe una norma que considere necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. Esta "necesidad" es el requisito que impone el RGPD para acogerse a esta excepción.
- Consentimiento explícito: Hasta el momento, recogíamos el consentimiento del trabajador para utilizar los sistemas de registro biométricos, pero tras la publicación del nuevo criterio de la AEPD, esto tampoco es válido por las siguientes razones:
- Podríamos darle una alternativa al fichaje biométrico, para que el consentimiento sea libre. Pero en este caso la AEPD dice que si tenemos otra opción menos intrusiva sin recoger datos biométricos, y totalmente válida para el registro de jornada, no existe necesidad de recabar el dato biométrico y, por tanto, no es lícito utilizar este sistema.
- Pero, además, considera que en la relación empresario – trabajador se produce un desequilibrio de poder entre empleado y empleador que hace que este consentimiento no se proporcione libremente por lo que no es posible la opción de consentimiento como base jurídica.
Estas conclusiones que, si bien no son vinculantes ni tienen rango de ley, son el criterio de la autoridad de control y, por tanto, susceptibles de ocasionar sanciones por esta entidad. Recordemos que estas multas pueden ser de hasta 20 millones de euros o el 4% del volumen de negocio anual global del ejercicio anterior. Si revisamos sanciones ya impuestas por este motivo, oscilan entre los 5.000 y los 200.000 euros.
Además de sanción por parte de la AEPD, estaríamos expuestos a reclamaciones por parte de los empleados por vía laboral o civil, de hecho, ya ha habido una sanción recientemente de más de 6.000 euros a una empresa por una reclamación de este tipo en la que el trabajador reclamaba una indemnización por daños morales.
En conclusión, el criterio y recomendación de Audifarma es que no se usen este tipo de sistemas que recojan datos biométricos. Existen multitud de opciones que son totalmente válidas para el cumplimiento del registro de jornada laboral y que no incumplen con la normativa.
En caso de que tengas implantado estos sistemas, contacta con nosotros y te pautaremos encantados.
Consultora en protección de datos