Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Datos biométricos y control laboral

Un tema polémico, donde los haya, es el tratamiento de datos biométricos.

En el ámbito laboral, primero, surgieron dudas con el uso de la huella dactilar para el registro diario de jornada. De ello, les hablé en día, y pueden consultar aquel artículo haciendo clic aquí. Ahora, surgen dudas con el reconocimiento facial y el uso de la Inteligencia Artificial para controlar a los trabajadores a distancia que están teletrabajando, lo que permitirá perfilar actitudes, gestos, estados de ánimo o de ansiedad, etc.

El Reglamento General de Protección de Datos (RGPD) en su artículo 4 apartado 14 define a los “datos biométricos” como «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». A su vez, en su artículo 9 apartado 1 establece la prohibición de «utilizar datos biométricos dirigidos a identificar de manera unívoca a una persona física», exceptuando varios casos, uno de ellos, en la letra b), permite la utilización de dichos datos para la verificación del cumplimiento de un contrato laboral. Por tanto, cabe concluir que los sistemas de control de personal por “datos biométricos” son legales, y así lo acuerda la Sala de lo Contencioso-Administrativo del Tribunal Supremo en su sentencia de 2 de julio de 2007 en el recurso nº 5017/2003

La segunda cuestión a resolver es si el trabajador está obligado a ceder datos personales como su huella dactilar, su voz o permitir que se escanee su rostro. La respuesta ha de ser comedida y es que el empleador tiene que justificar la necesidad, proporcionalidad e idoneidad de adoptar el sistema de control por datos biométricos frente a otros sistemas, igualmente, efectivos. Recordar que los datos personales solicitados serán adecuados, pertinentes y no excesivos en relación al fin para el que se recaban. 

El tratamiento de datos biométricos requiere, no solo una base legal para legitimar dicho tratamiento, sino de un análisis documentado de los riesgos vinculados al mismo, del que derive la adopción de garantías específicas. Es indudable la complejidad técnica y el alto grado de exigencia que la legislación plantea al uso de datos biométricos. De modo que no es posible abordar esta cuestión sino desde la técnica de una evaluación de impacto relativa a la protección de datos.

El tratamiento de datos biométricos en el ámbito de las relaciones laborales podría encontrar amparo en el artículo 6.1.f) del RGPD, como consecuencia de la existencia de un interés legítimo del empleador derivado de su poder de dirección, si bien condicionado al respeto de los principios recogidas en el artículo 5 del RGPD, especialmente los de limitación de la finalidad, minimización de datos, limitación del plazo de conservación, integridad y confidencialidad. Se trata de garantizar la menor injerencia en los derechos y libertades de los interesados.

El RGPD no parece considerar a todo tratamiento de datos biométricos como tratamiento de “categorías especiales de datos”, ya que el artículo 9.1 se refiere a los «datos biométricos dirigidos a identificar de manera unívoca a una persona física», por lo que parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física. En este sentido, parece que, igualmente, se pronuncia el Considerando 51 al señalar que: «El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física».

Al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como “categorías especiales de datos” podemos acudir a la distinción entre “identificación biométrica” y “autenticación/verificación biométrica” que se recoge en el Libro blanco sobre la Inteligencia Artificial de la Comisión Europea, que dice: «En lo que se refiere al reconocimiento facial, por “identificación” se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La “autenticación” o “verificación”, por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas biométricas concretas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma. Este procedimiento se emplea, por ejemplo, en las puertas de control automatizado de fronteras empleadas en los controles fronterizos de los aeropuertos».

Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de “datos biométricos” incluiría ambos supuestos, tanto la “identificación” como la “autenticación/verificación”. Sin embargo, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la “identificación biométrica” de una persona física. 

Si el tratamiento de los datos biométricos se ampara en el interés legítimo del empleador para el control laboral en base a su poder de dirección, parece claro que no sería necesaria otra base legal, cumpliendo todos los condicionantes referidos anteriormente, claro está. No obstante, por un criterio de prudencia, optaría por recabar el consentimiento del trabajador. El problema es que en las relaciones laborales no hay una situación real de igualdad, pues el trabajador está supeditado o subordinado al empleador. De modo que pueden surgir dudas acerca de que el consentimiento dado sea libre. Al respecto, el Considerando 42 del RGPD dispone: «El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno».

Si el responsable del tratamiento, esto es, el empleador no es capaz de establecer medidas de seguridad adecuadas para mitigar los riesgos derivados del tratamiento, debe consultar a la autoridad de control (AEPD) antes de proceder al tratamiento cuando la evaluación de impacto muestre que dicho tratamiento entrañaría un alto riesgo para los trabajadores afectados, poniendo en juego sus derechos y libertades.  

Yendo, una vez más, al país vecino, decir que el legislador portugués lo deja claro. En el artículo 28 apartado 6 de la Ley nº 58/2019, de 8 de agosto, dispone que: «El procesamiento de los datos biométricos de los trabajadores solo se considera legítimo para el control de asistencia y para el control de acceso a las instalaciones del empleador, y debe asegurarse que solo se utilicen representaciones de los datos biométricos y que el proceso de recolección respectivo no permita la reversibilidad de dichos datos». De modo que, el reconocimiento facial y el uso de la Inteligencia Artificial en el control laboral en Portugal es imposible, salvo que el empleador cuente con el expreso y libre consentimiento del trabajador. En caso contrario, el tratamiento sería ilícito y, por tanto, sancionable por parte de la autoridad de control lusa.

Personalmente creo que el uso de la Inteligencia Artificial y del reconocimiento facial para controlar a los trabajadores es una medida excesiva. En la actualidad, ya existen muchos programas de software, realmente efectivos, que permiten controlar la actividad del trabajador a distancia; ahora bien, es muy probable que, en un futuro próximo, el sistema de control por reconocimiento facial combinado con Inteligencia Artificial se acabe implantado, sobre todo en las grandes compañías. 

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual