Actualización del criterio para el uso de datos biométricos en el entorno laboral | Fieldfisher
Skip to main content
Select location Spain (ES)
  • Actualidad
  • Actualización del criterio sobre el uso de datos biometricos en el entorno laboral
Insight

Actualización del criterio sobre el uso de datos biometricos en el entorno laboral

Guillermo Ponce de León Ruiz
19/06/2024

Las novedades que la Agencia Española y la Autoridad Catalana de Protección de Datos han presentado recientemente profundizado en los criterios sobre registro de jornada y control de acceso establecidos en noviembre de 2023. Además, entramos a valorar la primera resolución de la Agencia Española de Protección de datos aplicando los criterios adoptados y que confirma la necesaria revisión, por parte de las empresas, de revisar sus políticas y procedimiento en esta materia. 

Tras la publicación por parte de la Autoridad Catalana de Protección de Datos (APDCAT) de su Dictamen 2/2024, así como una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD),  se ha arroja luz tras el criterio adoptado por la AEPD en noviembre de 2023 sobre la forma en que los sistemas de identificación biométrica pueden ser utilizados en el entorno laboral, tanto desde el punto de vista de las finalidades para las que puede y no pueden ser utilizados; como desde el punto de vista de la licitud de dicho tratamiento.

El Dictamen publicado por la APDCAT pone el foco en el uso de sistemas de identificación biométrica para los siguientes dos fines: 

Registro de jornada mediante identificación biométrica

La APDCAT pone de relieve que el empleo de sistemas de identificación biométrica debería tener una base legitimadora aplicable al caso de uso, recogiendo el guante de la AEPD y yendo un poco más allá sobre las opciones que posibilitarían el uso de esta tecnología en el contexto laboral. 

Así las cosas, se confirma que el consentimiento de los trabajadores no puede considerarse una base legitimadora válida para el tratamiento de sus datos biométricos respecto del registro de jornada. Sin embargo, se abre la posibilidad de legitimar dicho tratamiento a través del convenio colectivo de aplicación a la empresa con la condición de que se incluya una Evaluación de Impacto en la Protección de Datos (EIPD) en la negociación y aprobación. Esta evaluación debe analizar detalladamente las medidas de seguridad y comprobar que el tratamiento cumple y supera el triple juicio de necesidad, proporcionalidad e idoneidad al que la AEPD también hacía referencia en su Dictamen.

Aun considerando esta posibilidad, la APDCAT subraya que la proporcionalidad y necesidad en el uso de biometría son juicios que deben superarse en cualquier caso para la legalidad de la finalidad. Se incide en que estas tecnologías no deben utilizarse a menos que se justifique claramente que no hay alternativas menos intrusivas que permitan alcanzar el mismo objetivo dando a entender que, en la mayoría de los casos, es difícil justificar que el uso de sistemas biométricos sea una medida necesaria para cumplir con la obligación de registrar la jornada de los trabajadores.

Uso de controles biométricos para acceso a zonas reservadas

La segunda de las cuestiones que la APDCAT abarca para aclarar aspectos sobre el uso de estas tecnologías tiene que ver con el control de acceso a áreas reservadas de las instalaciones.

En este caso, la APDCAT considera que el uso de controles biométricos puede ser más justificable, siempre y cuando se demuestre de manera detallada por qué no se pueden emplear medios menos invasivos a través de los juicios de necesidad, idoneidad y proporcionalidad antes indicados. Se destaca la importancia de justificar exhaustivamente la necesidad de estas tecnologías, evaluando si otras opciones pudieran cubrir las mismas necesidades de seguridad sin comprometer tanto la privacidad de los individuos.

Además de lo indicado hasta ahora, la AEPD ha comenzado a aplicar el criterio adoptado en noviembre de 2023 en sus resoluciones sancionadoras. En concreto, entrando a valorar varios puntos críticos de la implementación de sistemas biométricos en contexto laboral y enfatizando que la "necesidad" de un sistema no debe confundirse con su "utilidad".

La AEPD indica que, aunque la detección de huellas dactilares puede ser útil, facilitando por ejemplo la eliminación de tarjetas de acceso y ofreciendo procesos más eficaces y automatizados de acceso a la compañía o registro de jornada, esto no significa que sea objetivamente necesario pues existen medidas menos intrusivas para la privacidad del interesado con igual resultado insistiendo en que la verdadera necesidad del sistema debe ser demostrada, especialmente cuando se trata de tratar datos de naturaleza sensible.

En definitiva, la posición de las autoridades de control sobre este asunto, sigue siendo bastante restrictiva y alineada con lo establecido por el Comité Europeo de Protección de Datos. Estos dictámenes y resoluciones ponen de manifiesto la complejidad y rigidez de los requisitos para la implementación de sistemas biométricos en el ámbito laboral y la necesidad de llevar a cabo juicios de ponderación detallados en los que se justifique la implementación de las medidas y se entre a valorar los motivos por los que se descartan otras alternativas menos intrusivas.

Áreas de especialización

Tech & Data