¿Cómo resuelve la Ley los aspectos relacionados con la biometría y LOPD?. El Reglamento General de Protección de Datos europeo (comúnmente conocido como RGPD), que es la norma que sirvió después a la AEPD para modificar su interpretación en este tema, define en su artículo 4.14  los datos biométricos de la siguiente manera:

“Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”

A su vez, en el artículo 9, eleva estos datos personales a la característica de “Especialmente Protegidos”, por lo que se deberán cumplir con una serie de requisitos para su tratamiento conforme a la normativa:

  • El afectado deberá dar su consentimiento explícito al tratamiento de dichos datos, con la finalidad de dicho tratamiento especificada.
  • Es obligatoria la realización de una Evaluación de Impacto del sistema que se usará para el tratamiento.
  • Será obligatorio mantener un registro de las actividades de tratamiento que se efectúen bajo la responsabilidad de la entidad.
  • El afectado deberá ser informado de sus derechos y de cómo ejercerlos.

Principio de necesidad, idoneidad y proporcionalidad en el tratamiento. Biometría y LOPD.

Es decir: Los datos biométricos deben ser recogidos para unos fines determinados que deben ser especificados y justificados dentro de las bases jurídicas establecidas en el artículo 6 del RGPD . Y no pueden realizarse tratamientos distintos a los que se recojan en el consentimiento prestado por el trabajador. El principio de necesidad implica que los datos biométricos que se vayan a recabar deben ser los adecuados y nunca excesivos para los fines que se vayan a tratar.

Por lo tanto ¿Se puede utilizar la huella o el reconocimiento facial como sistema de control de presencia? – Biometría y LOPD

La finalidad del uso de estos datos biométricos es plenamente legítima:   el   control   del cumplimiento del horario de trabajo al que vienen obligados los empleadores y los empleados por la Ley mencionada.

La base jurídica establecida en el art. 6.1.b) del RGPD determina que el tratamiento de este tipo de datos será legal cuando sea necesario para la ejecución de un contrato en el que el interesado es parte. Además, en  este caso en concreto, también es aplicable la base jurídica establecida en el art. 6.1.f): que el tratamiento sea necesario para satisfacer el interés legítimo del empleador en la correcta ejecución de las prestaciones derivadas del contrato de trabajo. Este es el supuesto por el que el control de la huella dactilar para la asistencia al puesto de trabajo estará autorizado, habida cuenta que se busca comprobar que el trabajador cumple con su jornada laboral.

Al respecto, en el Derecho laboral español, existen dos normas que ampararía el tratamiento de los datos biométricos y, por tanto, de la huella dactilar o el reconocimiento facial de los trabajadores:

  • Por un lado, el artículo 20 del Estatuto de los Trabajadores que dispone que el empresario puede adoptar las “medidas más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”.
  • Por otro lado, el artículo 34.9º del Estatuto de los Trabajadores  (modificación introducida por el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo) que establece que “la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora …” y que “Mediante negociación colectiva o acuerdo de empresa o, en su defecto, decisión del empresario previa consulta con los representantes legales de los trabajadores en la empresa, se organizará y documentará este registro de jornada”.

Medidas de seguridad – Biometría y LOPD

Los datos deben de estar cifrados. Pero más allá de eso, los datos biométricos de un control de presencia o un control de accesos deben ser automáticamente convertidos a un algoritmo que esté almacenado en una base de datos codificada. Y, además, debe de ser imposible reconstruir la imagen de la huella o rostro a partir de ese algoritmo.

Las autoridades de control europeas indican que sería preferible, pero no obligatorio, no almacenar estos datos en una base de datos centralizada (como un servidor de la empresa), sino únicamente en un soporte que llevase el trabajador. Por ejemplo: una tarjeta con microchip o un teléfono móvil o una tarjeta bancaria. Es decir: que el usuario pusiera su huella en el lector de la empresa y luego confirmase su identidad acercando la tarjeta o teléfono móvil; de esa manera la empresa no tendría ni la huella ni su algoritmo equivalente.

No obstante, independiente de la no obligatoriedad de este sistema, también es cierto que eso ralentizaría el sistema de fichaje y facilitaría los problemas ocasionados por el olvido de las tarjetas o de los teléfonos que es precisamente uno de los eventos que el uso de la biometría pretende solucionar.