Un tema polémico, donde los haya, es el tratamiento de datos biométricos.
En el ámbito laboral, primero, surgieron dudas con el uso de la huella dactilar para el registro diario de jornada. Sobre dicho registro les hablé en un artículo anterior, que pueden consultar haciendo clic aquí.
Ahora, surgen dudas con el reconocimiento facial y el uso de la Inteligencia Artificial para controlar a los trabajadores que están teletrabajando, lo que permitirá perfilar gestos, estados de ánimo, etc.
El Reglamento General de Protección de Datos (RGPD) en su artículo 4 apartado 14 define a los datos biométricos como «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». A su vez, en su artículo 9 apartado 1 establece la prohibición de «utilizar datos biométricos dirigidos a identificar de manera unívoca a una persona física», exceptuando varios casos, uno de ellos, en la letra b), permite la utilización de dichos datos para la verificación del cumplimiento de un contrato laboral.
Los sistemas de control de personal a través de datos biométricos, pongamos la captura de la imagen tridimensional de la mano, mediante rayos infrarrojos y convertida en algoritmo que se plasta en un registro informático, son legales (TS, Sala Tercera, de lo Contencioso-Administrativo, Sección 7ª, Sentencia de 2 de julio de 2007, Rec. nº 5017/2003).
La segunda cuestión es si el trabajador está obligado a ceder sus datos biométricos. La respuesta ha de ser comedida y es que el empleador tiene que justificar la necesidad, proporcionalidad e idoneidad de adoptar el sistema de control por datos biométricos frente a otros sistemas, igualmente, efectivos. Recordar que los datos personales solicitados serán adecuados, pertinentes y no excesivos en relación al fin para el que se recaban.
Evaluación de impacto
El tratamiento de datos biométricos requiere, no solo una base legal para legitimar dicho tratamiento, sino de un análisis documentado de los riesgos vinculados al mismo, del que derive la adopción de garantías específicas. Es indudable la complejidad técnica y el alto grado de exigencia que la legislación plantea al uso de datos biométricos. De modo que, no es posible abordar esta cuestión, sino desde la técnica de una evaluación de impacto relativa a la protección de datos. La AEPD ha sancionado a un responsable del tratamiento con 20.000,00 € por no realizar, previa a la implantación del control por huella dactilar, una evaluación de impacto (PS/00010/2021).
El tratamiento de datos biométricos en el ámbito de las relaciones laborales podría encontrar amparo en el artículo 6.1.f) del RGPD, como consecuencia de la existencia de un interés legítimo del empleador derivado de su poder de dirección, si bien condicionado al respeto de los principios recogidas en el artículo 5 del RGPD, especialmente los de limitación de la finalidad, minimización de datos, limitación del plazo de conservación, integridad y confidencialidad.
Los datos biométricos como categorías especiales de datos
El RGPD no parece considerar a todo tratamiento de datos biométricos como tratamiento de datos de categoría especial.
El artículo 9.1 del RGPD se refiere a los «datos biométricos dirigidos a identificar de manera unívoca a una persona física», de forma que los datos biométricos solo constituirían una categoría especial de datos en caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física. En tal sentido, el Considerando 51 señala: «El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física».
«Identificación biométrica» y «Autenticación/Verificación biométrica»
A fin de aclarar las dudas interpretativas acerca de la consideración de los «datos biométricos» como «categorías especiales de datos» podemos acudir a la distinción entre «identificación biométrica» y «autenticación/verificación biométrica» prevista en el Libro blanco sobre la Inteligencia Artificial de la Comisión Europea. Pongamos por caso el reconocimiento facial.
Por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. A su vez, la «autenticación» o «verificación» se refiere a la búsqueda de correspondencias entre dos plantillas biométricas concretas que, en principio, se supone que pertenecen a la misma persona (es lo que ocurre cuando desbloqueamos nuestro teléfono móvil con el reconocimiento facial, que nuestra imagen se compara con una sola imagen guardada en nuestro dispositivo).
Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de datos biométricos incluiría tanto la «identificación» como la «autenticación/verificación», si bien los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la «identificación biométrica» de una persona física.
Base jurídica para legitimar el tratamiento
El tratamiento de los datos biométricos se puede amparar en el interés legítimo del empleador para el control laboral en base a su poder de dirección. No obstante, por un criterio de prudencia, optaría por recabar el consentimiento explícito del trabajador.
El problema es que en las relaciones laborales no hay una situación real de igualdad, toda vez que el trabajador está supeditado o subordinado al empleador. De modo que pueden surgir dudas acerca de que el consentimiento dado sea libre. El Considerando 42 del RGPD dice: «El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno».
El uso de datos biométricos para el control laboral es una medida excepcional, esto es, el empleador debe acreditar que no existe una alternativa menos invasiva, y esto no siempre es fácil de acreditar.
Portugal
En el caso del país vecino, el legislador portugués legitima su uso para el control de asistencia y acceso a las instalaciones del empleador. El artículo 28 apartado 6 de la Lei nº 58/2019, de 8 de agosto dispone: «El procesamiento de los datos biométricos de los trabajadores solo se considera legítimo para el control de asistencia y para el control de acceso a las instalaciones del empleador, y debe asegurarse que solo se utilicen representaciones de los datos biométricos y que el proceso de recolección respectivo no permita la reversibilidad de dichos datos».