Antes de contestar a la pregunta principal, hemos de recordar que un sistema de control horario que use el reconocimiento facial o de huella dactilar implicará un tratamiento de datos personales de categoría especial, ya que se trata de datos biométricos.
Recientemente, la Agencia Española de Protección de Datos (AEPD) ha condenado a una empresa que usaba un sistema de reconocimiento facial para controlar el horario de los trabajadores por no llevar a cabo una evaluación de impacto de protección de datos (EIPD) conforme al artículo 35 del RGPD.
Por su parte la sociedad infractora alegaba que no tenía obligación de llevar a cabo una EIPD basándose en lo dispuesto en el citado art. 35 del RGPD, a lo que la AEPD contesta remitiéndose a la lista orientativa de tipos de tratamiento que requieren una EIPD, elaborada por la misma Agencia y de acuerdo con los criterios de las Directrices del Grupo de Trabajo del art. 29, puntualizando que esta lista no debe considerarse exhaustiva.
Pese a que la lista no es exhaustiva, este caso cumple con algunos de los supuestos previstos:
4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
6. Tratamientos de datos de sujetos vulnerables… (recordemos que los empleados se consideran sujetos vulnerables y así se expone en las citadas Directrices).
La AEPD requirió a la empresa para que en el plazo de diez días limitara temporal o definitivamente el tratamiento del sistema de reconocimiento facial con objeto de control laboral, en tanto no dispusiera de una EIPD válida, que tuviera en cuenta los riesgos para los derechos y libertados de los empleados y las medidas y garantías adecuadas para su tratamiento, y se le impuso una sanción por importe de 20.000 euros, aunque le fue aplicada una reducción por pago voluntario, quedando finalmente en 12.000 euros.
Además de la resolución citada por parte de la AEPD, posteriormente, el pasado 15 de septiembre se dictó por el Juzgado Social de Alicante una resolución que condenaba a la empresa por vulneración del derecho a la intimidad personal y familiar y a la propia imagen, al cese de la conducta empresarial y al abono de una indemnización por daños morales en la suma de 6.251 euros.
La citada sentencia deja clara la necesidad de llevar a cabo una EIPD, exponiendo que: “los sistemas de control biométrico, como los de huella dactilar y de reconocimiento facial, requieren de una evaluación de impacto en protección de datos cuya falta puede conllevar una sanción económica por parte de la AEPD”. Además, desarrolla el Tribunal que “puesto que los datos biométricos solo pueden utilizarse si son adecuados, pertinentes y no excesivos, ello implica una evaluación estricta de la necesidad y la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva”.
Por tanto, si quieres implantar un mecanismo de control horario o fichaje con reconocimiento facial o huella dactilar recuerda que deberás cumplir con lo siguiente:
Antes de implementar el sistema de control horario
Debes llevar a cabo una evaluación de impacto de protección de datos para evaluar tanto la legitimidad del tratamiento como su proporcionalidad, así como determinar los riesgos existentes y las medidas para mitigarlos de conformidad con lo señalado en el artículo 35 RGPD.
Una vez implementado el sistema y realizada la EIPD:
- Es aconsejable ofrecer una alternativa al sistema de reconocimiento facial o huella, por ejemplo, una tarjeta o un código personal.
- El tratamiento debe ser adecuado, pertinente y no excesivo y, por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse.
- Debes informar a los empleados del uso de este tipo de sistemas. Esa información puede añadirse al anexo que se entrega al trabajador cuando firma el contrato de trabajo o bien, si el sistema se instala posteriormente, en un texto aparte que incluya la información que exige el art. 13 del RGPDP.
En resumen, la implementación de sistemas de fichaje o control horario mediante reconocimiento facial o huella dactilar conlleva responsabilidades significativas en cuanto a la protección de datos. En última instancia, la transparencia, la responsabilidad y el respeto por los derechos de los trabajadores deben ser los pilares fundamentales al considerar y desplegar sistemas de este tipo en el entorno laboral.
Para más información, puedes acceder a la guía que ha publicado la AEPD sobre la utilización de datos biométricos para el control de presencia y acceso haciendo clic aquí.
Artículo escrito por:
Abogada especialista en Privacidad & IP
Sobre Metricson
Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.
Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!