Como consecuencia del desarrollo de la Inteligencia Artificial, se han producido cambios en el contexto normativo, social y tecnológico que hacen necesario plantearse los límites al tratamiento de datos biométricos y las medidas que han de establecerse para que un tratamiento de datos personales que decida utilizar sistemas biométricos garantice el cumplimiento del Reglamento General de Protección de Datos (en adelante RGPD) o de otro tipo de normativas que inciden en estos sistemas, como será, en el futuro, el Reglamento Europeo sobre Inteligencia Artificial.
Uno de estos instrumentos basados en sistemas biométricos (huella, iris o reconocimiento facial, entre otros) es el usado para el registro de la jornada laboral y el control de accesos por muchas entidades. La utilización de este tipo de sistemas podía, aparentemente, ser hasta ahora más práctico, sencillo y rápido, pero ¿qué hay de la repercusión que tiene en los derechos y libertades de las personas?
Pues bien, la nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos publicada el 23 de noviembre por la Agencia Española de Protección de Datos (en adelante AEPD), parece que ha tirado por tierra este tipo de sistemas y pugna por la prohibición de los tratamientos biométricos para los controles de presencia, esto es, tanto para el registro de la jornada laboral como para el control de accesos con fines laborales o con otras finalidades.
Lo llamativo de esta nueva guía elaborada por la AEPD es que supone un cambio de criterio que implica un giro de los acontecimientos en el siguiente sentido:
- Hasta el momento, la AEPD consideraba que los datos biométricos solamente tenían la consideración de datos especialmente protegidos o de categoría especial del artículo 9.1. del RGPD cuando se utilizaba en procesos de identificación “uno contra varios”, y no en los casos de autenticación de identidad realizados “uno contra uno”.
- Ahora, la AEPD amplía los supuestos ysigue la estela de las Directrices 05/2022 en su versión 2.0 de 26 de abril del Comité Europeo de Protección de Datos y del Tribunal de Justicia de la Unión Europea en su sentencia de 22 de junio de 2023 C-579/21 Pankki S. y considera que, en ambos casos, los datos biométricos deben considerarse como datos de categoría especial, ya sea en un proceso de identificación como en un proceso de autenticación o de verificación.
En definitiva, hemos de considerar, al igual que en el caso de identificación, que la autenticación biométrica es un proceso que implica el tratamiento de categorías especiales de datos personales.
Antes de entrar a analizar en profundidad la fundamentación y los criterios adoptados sobre la prohibición del tratamiento de datos biométricos para el control de presencia por la Guía sobre tratamientos de control de presencia mediante sistemas biométricos,conviene recordar que el artículo 4.14 del RGPD configura los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permiten o confirmen la identificación única de dicha persona”. Asimismo, un dato biométrico contenido en un sistema se almacena en forma de una plantilla o patrón biométrico.En este sentido, una plantilla biométrica está orientada a ser tratada en un proceso automatizado, es decir, ser eficiente y eficazmente interpretable por una máquina que permita singularizar a un individuo y ejecutar acciones de forma automática, perfilar o inferir información sobre un sujeto como actitudes o patrones de comportamiento. De ahí que una plantilla biométrica con propósito de identificación o autenticación se considere como un dato personal per se y un identificador único de conformidad con lo dispuesto porparte del Grupo del Artículo 29 del Documento de trabajo sobre biometría WP80 de 1 de agosto de 2003.
Esta tipología de datos biométricos, como datos de categoría especial, son datos cuyo tratamiento, como regla general, se encuentra prohibido por el artículo 9.1. del RGPD, prohibición que, hasta el momento, podía levantarse si concurría alguna de las circunstancias contempladas en el apartado 2 de este mismo artículo, como, por ejemplo, el consentimiento explícito del interesado o el cumplimiento de una obligación legal y el ejercicio de derechos específicos en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida que así lo autorizase una norma europea, nacional o un convenio colectivo.
- Sin embargo y, en relación con lo anterior, a consecuencia de esta Guía, ahora el consentimiento no constituye una base de legitimación válida para este tipo de tratamientos de control de presencia pues se presupone, una relación de desequilibrio de poder entre el empleador y el empleado que hace que dicho consentimiento no se preste libremente por el interesado, en la medida que el empleado puede verse perjudicado si no opta por elegir el tratamiento de los datos biométricos como medida de registro o control. Incluso aunque el consentimiento se considerase prestado como libre, debería arbitrarse una alternativa menos invasiva para aquellos empleados que no consientan el tratamiento de sus datos biométricos. De esto se infiere que, si la alternativa ofrecida es menos intrusiva para la privacidad de las personas, el tratamiento de los datos biométricos no es indispensable para la finalidad que se requiere. Por tanto y, adicionando a esta proposición el principio de minimización de los datos personales establecido en el artículo 5.1.c) del RGPD y el considerando 39 del RGPD que dictamina que, sólo deberán tratarse los datos personales si la finalidad no pudiera lograrse razonablemente por otros medios, en el sentido que el control de presencia podría lograrse con otro tipo de medidas equivalentes menos invasivas (como tarjetas, códigos o sistemas contact-less, entre otros), se concluye que el tratamiento biométrico no es ni esencial ni necesario.
- Igualmente, el cumplimiento de una obligación legal (en concreto la alegación del artículo 20.3 del Estatuto de los Trabajadores y el artículo 34.9 del Estatuto de los Trabajadores para el control de acceso y el registro de la jornada respectivamente) solo servirá y será válido cuando existan una norma de rango legal que así lo permita y, además, se cumplan los principios de necesidad e idoneidad. Es decir, en esta Guía, la AEPD condiciona el tratamiento de los datos biométricos para el control de presencia a una norma con rango de ley que, en la actualidad, es inexistente en nuestro derecho nacional, dado que los preceptos anteriores no consiguen ser suficientes, según lo explicitado, para levantar la prohibición del tratamiento de los datos biométricos. Asimismo, se requiere que el tratamiento de los datos biométricos, como hemos adelantado, sea necesario para responder a la necesidad del control de presencia y registro horario y no sólo que sea lo más adecuado o rentable, tal y como dispone el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo de Trabajo del Artículo 29.Igualmente, el tratamiento de los datos biométricos deberá ser idóneo, es decir, respetar el principio de proporcionalidad con unos niveles adecuados de calidad, teniendo en cuenta que no hay tratamiento que esté libre de errores ni de posibilidad de fraude. Hay que tener en cuenta a este respecto que el tratamiento de datos biométricos se puede materializar en sesgos en los perfilados, identificaciones incorrectas, suplantación de identidad, discriminación en segmentos de población o denegación de acceso a servicios por errores en la captación del dato, lo que hace que la medida de idoneidad no se cumpla en todo caso.
- Además, la Guía también indica que tampoco servirá acudir a otra base de legitimación como la ejecución de un contrato o el interés legítimo para validar el tratamiento de los datos biométricos para el control de presencia.
Superado este levantamiento de prohibición que, no ocurre en el caso según la Guía dado que las condiciones y normativas no son suficientes en los términos previstos en el RGPD, debería acudirse, además de a una base de legitimación válida, a un conjunto de requisitos que son de obligado cumplimiento para determinar que el tratamiento es conforme a la normativa de protección de datos y, por lo tanto, que se puede llevar a cabo. Este conjunto de requisitos comprende los siguientes pasos a seguir con carácter previo:
- Que se realice una gestión del riesgo desde el diseño y por defecto.
- Se apliquen las medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que el tratamiento es conforme con el RGPD.
- Que se supere favorablemente, en caso de alto riesgo, una Evaluación de Impacto para la Protección de los Datos del artículo 35 del RGPD que incluya y supere el juicio de idoneidad, necesidad y proporcionalidad. En este sentido, los sistemas biométricos implementados con técnicas de inteligencia artificial tienen la consideración de sistemas de alto riesgo según el Anexo III de la propuesta de Regulación de Inteligencia Artificial y para poder incluirlos en un tratamiento se deberán tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa sobre Inteligencia Artificial.
Pese a estos requisitos que han de cumplirse, con lo expuesto, se desprende que, si no se ha levantado la prohibición del tratamiento de datos personales biométricos, es indiferente que se cuente con una base jurídica de las previstas en el artículo 6.1. del RGPD y se cumplan las anteriores condiciones, puesto que ya contamos con una condición que invalida el tratamiento.
Una vez que se ha levantado la prohibición, la Guía es clara al expresar que no se debería proponer un tratamiento y, a continuación, buscar una condición de licitud, sino, al contrario, debería existir una condición (causa) definida en el artículo 6.1 del RGPD para que un responsable decida realizar un tratamiento (efecto).
Esto implica que, al no poder aplicar el artículo 9.2 del RGPD en ninguna de sus excepciones, en el caso de que se plantee el control de presencia como un tratamiento en el que hay decisiones automatizadas sin una intervención humana con la competencia para revertir la decisión, no se podrá utilizar un proceso de identificación o autenticación biométrica.
En definitiva, como no se cumplen las condiciones de cumplimiento de las disposiciones de la normativa de protección de datos, la empresa no tendrá la obligación de realizar el registro de jornada o el control de acceso en el ámbito laboral implementando técnicas biométricas.
En cuanto al momento de implementación de este nuevo criterio implantado por la AEPD es indeterminado, dado que en la Guía no se hace referencia alguna a fecha límite. Sin embargo, como ha ocurrido en otras ocasiones, con la publicación de esta Guía, se abre la veda a posibles sanciones a las entidades que no cumplan con los términos señalados, sanciones que, incluso, podrían llegar a dar lugar a indemnizaciones por daños y perjuicios en la vía laboral por un uso ilegítimo de datos biométricos tal y como se pone de manifiesto en este artículo del blog.
Por tanto,de estaGuía sobre tratamientos de control de presencia mediante sistemas biométricos se entiende que, pese a que, en muchos casos, la tecnología permita y sea accesible para realizar tratamientos de datos biométricos, se trata de sistemas que recogen mucha más información de la que es realmente necesaria para la finalidad del tratamiento o, al menos, con mucho más detalle del requerido. El hecho de que este tipo de sistemas permitan extraer más información de la imprescindible para la finalidad del tratamiento de los datos personales no justifica, sin embargo, su utilización.
No obstante, y, quizá, en un futuro, el curso de los acontecimientos cambie a golpe de criterio de la AEPD pero parece que, por el momento, no será posible el sistema de fichaje y el control de acceso a través de sistemas biométricos.
