A raíz de la entrada en vigor del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, han sido muchas las entidades que se han decantado por el uso de la biometría a la hora de escoger el sistema utilizado para la llevanza del control de jornada y la instalación de este tipo de tecnología se ha acrecentado.
Desde un punto de vista práctico cabe pensar que este sistema aporta eficiencia, sencillez y comodidad, ya que garantiza máxima precisión en el registro horario y se asocia a un único individuo de forma que no es posible suplantar la identidad de la persona (al contrario que el uso de contraseñas o tarjetas de aproximación).
Sin embargo, como ya hemos analizado en algunas de nuestras publicaciones, la Agencia Española de Protección de Datos (AEPD) lleva unos años centrando su atención y preocupación en este tipo de tratamientos de datos, donde las ventajas prácticas que puede aportar el uso de sistemas de recogida de huella dactilar entran en contraposición con la privacidad y la protección de los datos de carácter personal (Uso de huella dactilar para identificación de alumnos en colegios, ¿Es proporcionado el uso de la huella dactilar para el control de acceso?, ¿Es, o no es, desproporcionado el uso de la huella dactilar para el control horario?).
En esta ocasión, traemos a colación una reciente resolución (ver aquí) en la que la AEPD ha interpuesto una sanción de 20.000 euros a una entidad que tenía implementado un sistema de control presencial de los trabajadores a través tanto de lectores para la captura de la huella dactilar, como también a través de un lector de tarjeta de aproximación.
La representación sindical de la empresa considera que el sistema, el cual se haya en “fase de pruebas”, no es conforme a la normativa porque no es proporcionado, es innecesario porque existen otros medios menos invasivos y porque se pretende igualmente usar el sistema para controlar la producción y, hay ausencia de consentimiento por parte de los trabajadores.
La entidad por su parte ha manifestado que, si bien es cierto que existían históricamente dos terminales de control de presencia mediante tarjeta, hace unos años con la idea de sustituir dichos terminales, se instalan cinco de sistema de huella, con el fin de evitar la problemática de que el personal abandone su puesto de trabajo antes de tiempo, que haya intercambio de tarjetas para que fichen unos empleados por otros y, se eviten aglomeraciones en los puntos de fichaje.
Cabe señalar que la idea inicial de la empresa era implementar un solo tipo de registro de presencia, si bien en el momento de inicio del procedimiento coexistían el de tarjeta y el nuevo de huella para comprobar su funcionamiento.
Asimismo, declara que de la recogida de las huellas e implantación del sistema se informó a cada trabajador, documentando su entrega con un recibí, y que se ha realizado un análisis de riesgos de actividades de tratamiento realizado a través de la herramienta FACILITA, donde entre otras cosas se evaluó la necesidad de realizar o no una Evaluación de Impacto (EIPD) y de donde se obtuvo que el resultado de la actividad era de “escaso riesgo”, por tanto, no se llegó a realizar. (Se recuerda que en palabras de la AEPD “Facilita RGPD no puede utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas”).
Llegados a este punto, interesa saber cuál es el funcionamiento del proceso desde el punto de vista de la parte reclamada, cómo se produce el sistema de registro y almacenamiento de la plantilla, que en este caso es el siguiente:
- Se utiliza un patrón de la huella dactilar basado en minucias, que se almacena encriptado y que identifica un número limitado de formas de huella y su posición dentro de la misma, asociándose un algoritmo.
- El lector lee la huella del empleado por primera vez y crea el patrón de puntos, pero no guarda la imagen de la huella como tal, sino un algoritmo derivado de los puntos obtenidos en el patrón. Cuando un trabajador pone su dedo para fichar, el lector lee los puntos y los compara con la base de datos en la que se encuentra el algoritmo.
- El sistema utilizado no siempre puede identificar a la persona sin ambigüedad, puesto que la identificación en el grupo de trabajadores se hace con unas coordenadas que no son únicas en el mundo, por tanto, la identificación del empleado se hace sin utilizar el dato biométrico.
A mayor abundamiento, la reclamada añade en sus alegaciones, que el proveedor contratado para la instalación del sistema es un referente para la Administración Pública, y dispone de una certificación ISO 9001/2015 de sistemas de gestión de calidad, norma internacional que acredita la capacidad para proporcionar regularmente productos y servicios que satisfagan los requisitos del cliente y los legales y reglamentarios aplicables; y que se llevó a cabo una auditoría para la certificación 270001/2013 de 2019, en la que se hizo una evaluación y un análisis de la aplicación.
Expuesta toda la información anterior para centrar el caso, veamos ¿Cuál ha sido el criterio que ha aplicado la AEPD para sancionar a la entidad?
- EN RELACIÓN CON LA TIPOLOGÍA DE DATOS
Como en otras ocasiones, hemos de partir de la definición que da el Reglamento General Europeo de Protección de Datos (RGPD) de “datos biométricos”:
Artículo 4.14: “son los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Si acudimos a lo dispuesto en el Dictamen 3/2012, sobre la evolución de las tecnologías biométricas, el cual ha llevado a que se hayan incluido estos datos entre las categorías especiales de datos del RGPD, hemos de tener en consideración que, al analizar la proporcionalidad de un sistema biométrico, es preciso considerar previamente:
- si el sistema es esencial para satisfacer una necesidad, y no solo el más adecuado o rentable.
- la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión en base a las características específicas de la tecnología biométrica que se va a utilizar.
- si la pérdida de intimidad resultante es proporcional a los beneficios esperados.
- si un medio menos invasivo de la intimidad alcanzaría el fin
deseado.
Los datos biométricos presentan la particularidad de ser producidos por el propio cuerpo y lo caracterizan definitivamente, siendo únicos, permanentes en el tiempo y la persona no puede ser liberada de él, no se pueden cambiar en caso de pérdida o intrusión en el sistema, por ejemplo.
Normativamente, en virtud del artículo 9.1 del RGPD queda prohibido, entre otros, “el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
Frente a esta prohibición, señala el artículo 9.2 b) que no será de aplicación cuando, entre otras circunstancias: “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
Por otra parte, señala el artículo 9.4 que “Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.” En relación con esto, el artículo 9 de la LOPDGDD 3/2018, señala que “el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.”
Por otra parte, el artículo 88 del RGPD establece que los Estados miembros pueden establecer normas más específicas para garantizar la protección de los derechos y las libertades en relación con el tratamiento de datos personales de los trabajadores, y que estas normas deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y sus derechos fundamentales, en particular, en relación con los sistemas de supervisión en el puesto de trabajo.
- EN RELACIÓN CON LA LEGITIMACIÓN DEL TRATAMIENTO
El registro de la huella dactilar es necesario para el cumplimiento de una obligación legal que se ha de adecuar a los principios generales de tratamiento de datos, previa superación de la prohibición del tratamiento por las causas tasadas en el artículo 9 del RGPD, tal y como hemos visto más arriba; y en todo caso, el consentimiento en el seno de una relación laboral es una base legitimadora excepcional porque el consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe riesgo de engaño, intimidación, etc.
En cualquier caso, si se toma como base legitimación el consentimiento, debe darse la posibilidad de no otorgarse el mismo, y por tanto ofrecer alternativas; así como tener en cuenta que puede ser retirado cuando lo desee su titular, lo cual deberá incluirse en la cláusula antes de que se preste.
De acuerdo con lo establecido, el tratamiento ha de ser necesario para el cumplimiento de obligaciones legales, considerando que los mismos efectos de cumplimiento se satisfacían antes del sistema de la huella con el uso de las tarjetas, siendo la huella preferida por la entidad por una serie de cuestiones entre las que no se tuvieron en cuenta el tipo de datos intrusiva que se utilizan, los riesgos y garantías establecidos.
- EN RELACIÓN CON EL SISTEMA UTILIZADO
El Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del GT29 establece que “se requiere una evaluación del equilibrio entre el interés legítimo del empresario de proteger su empresa y la expectativa razonable de privacidad de los trabajadores”.
Por ello, “Independientemente de la base jurídica de dicho tratamiento, antes de su inicio se debe realizar una prueba de proporcionalidad con el fin de determinar si el tratamiento es necesario para lograr un fin legítimo, así como las medidas que deben adoptarse para garantizar que las violaciones de los derechos a la vida privada y al secreto de las comunicaciones se limiten al mínimo. Esto puede formar parte de una evaluación de impacto relativa a la protección de datos (EIPD)”.
De acuerdo con la información que ha aportado la empresa sancionada, y en relación con la distinción que ha venido utilizando la AEPD en varios de sus informes, se estima que la comparación no se produce uno a uno (verificación/autenticación biométrica), la del empleado que accede con la suya, sino con todas las que están almacenadas, realizando una función de comparación uno a varios (identificación biométrica) cada vez que se entra o sale. En este caso, aunque no se guarde enteramente la imagen de la huella, sino unas coordenadas, cada una de ellas en la forma de plantilla, es capaz de identificar unívocamente a cada empleado al confrontar en el terminal la toma de la huella con el resto de las existentes.
La AEPD considera que pueden existir sistemas alternativos al utilizado que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos, y que para poder utilizar el sistema de identificación en lugar del de verificación, de acuerdo con el RGPD, las empresas necesitan demostrar altos niveles de responsabilidad proactiva y diseño por defecto desde antes del tratamiento, incluyendo el hecho de justificar que el sistema utilizado es necesario y proporcionado.
LA AEPD RESUELVE:
En base a todo lo anterior, se ha considerado que la empresa, indudablemente trata datos de carácter personal de categoría especial, y tiene la obligación de disponer de una Evaluación de Impacto (EIPD), en cumplimiento de lo dispuesto en el artículo 35 del RGPD y acogiéndose a la lista orientativa publicada por la AEPD de tipos de tratamiento que requieren una evaluación de impacto: “Los tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.”.
La EIPD es un paso necesario para el tratamiento de datos, no siendo el único exigible, es
un presupuesto al que se debe añadir el resto de los requisitos legales para el tratamiento.
Sin embargo, de la documentación obrante en el expediente, no se ha evidenciado en este caso concreto la realización de la EIPD y lo único que se ha aportado es una copia de análisis de riesgos a través de la herramienta FACILITA indicando que evaluaron la necesidad de realizar o no una EIPD dando como resultado un «escaso riego» por la interpretación de que la plantilla de la huella cifrada mediante el algoritmo no debía enmarcarse en los datos especialmente protegidos”.
Es por ello por lo que la AEPD ha decidido que cabe sancionar a la entidad con 20.000 euros por la infracción del artículo 35 del RGPD, contemplado como agravantes:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o el propósito de la operación de tratamiento que afecta a toda la plantilla, a pesar de que no todos hicieron uso del sistema de huella. (artículo 83.2a RGPD)
- La falta de diligencia, dado que la entidad preparó con tiempo la implantación del sistema y no previó el impacto del sistema implantado. (artículo 83.2b y 83.2d RGPD)
En contrapartida concurre como atenuante que se trata de una entidad del sector logístico en el que se tratan datos de sus empleados si bien no concurre “la vinculación de la actividad del infractor con la realización de tratamientos de datos personales”. (76.2.b LOPDGDD).
Sobre las razones alegadas por la reclamada de que contrató con una empresa española reconocida que provee de software y terminales de control de accesos en su actividad que además cuenta con certificados ISO (ENAC) y ella misma dispone de otro certificado, es de señalar que no se tuvo en cuenta la prohibición de datos con excepciones y no se efectuó un tratamiento diseñado desde la cautela del tipo de datos que se trataban, ofreciendo garantías.
Para finalizar la AEPD concluye a estos efectos, que las empresas u organizaciones necesitan demostrar altos niveles de responsabilidad proactiva y diseño por defecto de protección de datos desde antes del tratamiento como es a través de la realización de una EIPD, de tal forma que seamos capaces de acreditar la necesidad y proporcionalidad del tratamiento de datos biométricos a través del registro de huella dactilar para el cumplimiento de la obligación legal del registro de jornada.
A su vez, puesto que no se ha explicado para este caso por qué es preferible el sistema de identificación al de verificación, se considera que pueden existir sistemas alternativos al que se ha utilizado, que sí que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos.
