Uso de la huella dactilar en el entorno laboral

Tiempo de lectura: 3 minutos

Ya sabemos la obligatoriedad de llevar un control de horario de los trabajadores.

Un uso común es el típico papelito donde cada trabajador va firmando e indicando su horario de entrada y salida. Otro medio es la maquinita de fichaje donde pones tu código de trabajador. Y las más modernas hacen uso de la huella dactilar para hacer este fichaje necesario.

Pero, ¿Es esto correcto?

lopd sevilla

No olvidemos, que la huella dactilar, se considera un dato personal.

Conforme a los criterios seguidos por la AEPD[1],  con carácter general:

  • Los datos biométricos (como la huella dactilar entre otros) no tendrán la consideración de categoría especial en el caso de verificación o autenticación biométrica, comprobar que la persona en cuestión es quien dice ser, comparando sus datos biométricos, con sus propios datos biométricos existentes en la base de datos (uno-a-uno).
  • Los datos biométricos únicamente tendrán la consideración de categoría especial cuando se sometan a tratamiento técnico dirigido a la identificación biométrica. Es decir saber quién es la persona en cuestión, comparando sus datos biométricos con otros que existen en la base de datos (uno-a-varios).

[1] Así se desprende del informe jurídico 0036/2020, en el que tras analizar los artículos 4.14 y 9.1 del GDPR (referido y con referencia respectivamente a datos biométricos), y el dictamen 3/2012 del Grupo de Trabajo del Artículo 29 (GT29), sobre la evolución de las tecnologías biométricas

Cuando no se consideren datos especiales

En los casos de verificación o autenticación, al no considerarse datos de categoría especial, podremos legitimar el tratamiento en base al cumplimiento de una obligación legal por parte del responsable del tratamiento.

Cuando los datos biométricos se consideran datos de categoría especial

Cuando el tratamiento de huellas dactilares es considerado como una categoría especial habrá que buscar excepciones para su tratamiento. Las que se pueden aplicar a este tipo de tratamiento son:

  • 2 a)el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado.
  • 2 b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

A tener en cuenta

Para legitimar el tratamiento de datos biométricos , los empleados deberían prestar el consentimiento mediante una declaración o una clara acción afirmativa, que podría ser firmando una cláusula.

Se debe tener en cuenta que los interesados pueden oponerse al tratamiento en cualquier momento. Por lo que, si nos basamos en esta legitimación, al no estar obligados, no aseguraremos que todo el personal facilite sus datos biométricos.

En el ámbito laboral, la legitimación del tratamiento a través del consentimiento del trabajador no es lo recomendable. Ya que en el marco de las relaciones laborales existe una situación de desequilibrio de poder entre el empleado y el empleador, y son contadas y escasas las ocasiones en las que los trabajadores pueden prestar su consentimiento de forma “libre”. Por eso, por lo difícil que puede resultar decirle al jefe que no, la base de legitimación de este tratamiento de datos debería ampararse en la obligación legal del responsable (art. 6.1.c GDPR), tal como exponemos a continuación..

Conclusiones

Atendiendo lo dispuesto en el Dictamen CNS 63/2018 de la Autoridad Catalana de Protección de Datos, trasladamos las siguientes conclusiones:

«La inclusión de los datos biométricos, entre ellos los de la huella dactilar, entre las categorías especiales de datos previstas por el GDPR no permite concluir de manera automática que la implantación de un sistema de control horario basado en la recogida de este tipo de datos pueda considerarse proporcionada. Conforme con el principio de minimización. 

Hay que hacer una evaluación del impacto sobre la protección de datos para determinar su legitimidad y proporcionalidad. Incluido el análisis de la existencia de alternativas menos intrusivas, y establecer las garantías adecuadas.

En el caso del control de acceso a dependencias o zonas que requieran de seguridad reforzadas, el uso de este tipo de sistemas puede resultar justificado en determinados casos. Si bien también resulta necesario llevar a cabo con carácter previo la evaluación del impacto en la protección de datos.«

Si te ha gustado esta entrada, puedes consultar otras relacionadas en materia privacidad, aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Escamilla Consultores