Registro diario de jornada y sistemas biométricos de huella digital: la resolución de octubre de 2021
Hechos más relevantes: En los lugares en los que se sitúan los registros de la huella existían históricamente dos terminales de control de presencia mediante tarjeta, que permitían el control de presencia y el control de la jornada laboral-entradas, salidas y ausencias- y, por otro, la generación de reporte de variables para la elaboración de las nóminas -horas extras, nocturnidades. Se instalan un total de cinco puntos de registro de huella, con la finalidad de evitar: aglomeraciones; que las personas trabajadoras abandonen su turno de trabajo antes de la hora de finalización; y, que dichas personas puedan registrar la jornada de algún compañero. Además, el sistema constaría de dos fases: la primera de ellas se trataría del registro de los datos de la persona trabajadora y la recogida de su huella con un lector, captándose únicamente ciertos puntos característicos de la misma (entre 25 y 80 minucias), sin que se almacene por tanto una imagen completa de la huella; la segunda fase sería la de operación propiamente dicha, esto es, el registro de acceso o salida de la concreta persona trabajadora, para lo cual se capturan los puntos característicos de su huella, codificándose y comparándose con la plantilla codificada qué está almacenada en la memoria de la fichadora y asociada al ID de la concreta persona. La empresa se reunió con la representación unitaria y sindical con el objetivo de informar y explicar el nuevo sistema de registro, existiendo discrepancias con una parte de dicha representación al entender que el sistema de tarjeta actual era suficiente, solicitando un procedimiento de mediación, que no llegó a buen término. La Inspección de Trabajo y Seguridad Social (ITSS), tras conocer los hechos, archivó las actuaciones al entender que no se había producido infracción.
Argumentos de la empresa: su sistema es de verificación/autenticación, tratándose únicamente la correspondencia de los datos biométricos aportados en el momento del registro por la concreta persona trabajadora para acreditar su identidad; esto es, cuando esta coloca su dedo en el lector, el dispositivo verifica en local, nunca contra la base de datos central. La identificación de las personas trabajadoras se hace sin utilizar la huella dactilar y, por tanto, sin utilizar un dato biométrico. El sistema no almacena la huella, ni puede recuperar la misma. Además, aporta copia de análisis de riesgos de actividades de tratamiento, (modelo cuestionario y notas al mismo), señalando que el resultado de dicho análisis (escaso riesgo) determinó que no era necesario realizar una evaluación de impacto de protección de datos (EIPD):
Ningún empleado ha ejercido derecho alguno respecto de sus datos. A la hora de implantar el nuevo sistema de fichaje, la empresa ha recurrido a un proveedor de referencia de la Administración Pública, y la base de legitimación del tratamiento encaja en distintos preceptos del Reglamento General de Protección de Datos, (RGPD), habiendo solicitado a mayor abundamiento el consentimiento de las personas trabajadoras. Existen otras actuaciones similares en las que la AEPD no ha impuesto sanción alguna.
Pronunciamiento de la AEPD: la plantilla de cada persona trabajadora no se compara una contra una sino con todas las que están almacenadas. Las coordenadas guardadas de cada huella dactilar, en forma de plantilla, resultan suficientes para identificar unívocamente a cada persona trabajadora, por lo que se estaría ante datos de carácter personal basados en el procesamiento de la huella, identificando de forma única a cada persona. Los datos biométricos son una categoría especial de datos personales en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios), como se produciría en el concreto caso, en contra de lo manifestado por la empresa.
Estima que pueden existir sistemas alternativos al utilizado por la empresa que cumplen los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos, debiendo las empresas, para poder utilizar el sistema de registro de huella, demostrar altos niveles de responsabilidad proactiva y diseño por defecto de Protección de Datos desde antes del tratamiento. No se ha aportado por la empresa, como base legitimadora del tratamiento, la cláusula informativa que incluye la redacción de los términos de la recogida del consentimiento expreso. Éste en todo caso resultaría una base legitimadora de tratamiento excepcional.
Por otra parte, no se considera como base legitimadora de dicho tratamiento la contenida en el artículo 6.1.c) del RGPD, al entender que el registro de la jornada no es necesario para la ejecución del contrato (como sí lo sería la identificación del nombre y apellidos de la persona trabajadora, su DNI, etc., en el contrato de trabajo), y sí para el cumplimiento de una obligación normativa. Existe una la lista orientativa publicada por la AEPD de tipos de tratamiento que requieren una EIPD, publicada a modo de desarrollo del artículo 35.4 del RGPD, indicándose que en caso de que se cumplan dos o más criterios de dicha lista, la EIPD será preceptiva en la mayoría de los casos. El tratamiento de los datos biométricos se subsumiría en al menos dos de los criterios de la referida lista. Y se habría incumplido por tanto la obligación de realizar una EIPD. A la vista de todo lo anteriormente indicado, la AEPD propuso una sanción por la infracción del artículo 35 del RGPD (Evaluación de impacto relativa a la protección de datos), concretándose en una multa de 20.000 euros, cuantía que se redujo a 16.000 euros por pago voluntario, acordándose la terminación del procedimiento.
Valoración: la AEPD concluye que la implantación de un mecanismo de registro de jornada basado en un sistema biométrico de huella digital obliga a la elaboración previa de una EIPD, so pena de resultar sancionada por vulnerar la normativa existente en materia de protección de datos, como así ha ocurrido en el supuesto analizado. Dicha conclusión evidenciaría el doble plano que cada vez más se viene produciendo en cuanto al cumplimiento de obligaciones de naturaleza jurídico laboral se refiere, estando por un lado el relativo al propio cumplimiento de la normativa laboral y, por otro lado, el plano de la protección de datos aplicado a las relaciones laborales, tal y como se desprende de la propia Resolución, en la que se informa de que la ITSS no habría apreciado incumplimiento alguno. Por ello y dependiendo de la concreta medida y/o decisión a adoptar en el plano laboral que pudiera entroncar con el derecho a la protección de datos, más si cabe, si son personales catalogados como de especial sensibilidad, deberá analizarse también y, en su caso, sujetar a consulta del organismo pertinente, las eventuales implicaciones legales que pudieran tener en el citado ámbito.