¿Utilizas un dispositivo de registro de jornada laboral con huella dactilar u otros datos biométricos? En ese caso es imprescindible que conozcas las recomendaciones en protección de datos de la AEPD e implementes las garantías adecuadas.

El pasado 12 de mayo entró en vigor el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo (ver BOE) que regula la nueva obligación para las empresas de llevar un registro de jornada laboral de los trabajadores.

Este registro de jornada, que se aplica a la totalidad de trabajadores, con algunas particularidades (vid. guía sobre el registro de jornada del Ministerio de Trabajo), puede tener graves repercusiones en materia de protección de datos para el empleado o la propia empresa cuando se utilizan dispositivos de comprobación de huella dactilar u otros datos biométricos sin ofrecer las garantías apropiadas.

Sobre este tema se pronunció Mar España, Directora de la AEPD, en un encuentro con la CEOE publicado el 30 de abril de 2019, disponible aquí. En esta reunión, además de expresar su posición sobre los derechos de la era digital de la LOPDGDD, la AEPD da respuesta a las siguientes cuestiones formuladas por la CEOE:

  1. el uso de instrumentos de registro horario a través de huella dactilar u otros datos biométricos, y
  2. el uso de sistemas de geolocalización en trabajadores que no desarrollan actividades con un lugar y horario de trabajo tradicional.

Tratamiento de datos sensibles para llevar el registro de jornada laboral

La huella dactilar o los datos biométricos son datos sensibles especialmente protegidos por la normativa de protección de datos y, por ello, el RGPD exige que se adopten unas garantías adicionales para tratarlos.

Siendo un factor agravante del riesgo, el tratamiento de datos sensibles en muchas ocasiones justificará la necesidad de realizar una evaluación de impacto sobre la protección de datos o el nombramiento de un DPO, además de la adopción de medidas de seguridad técnicas y organizativas adicionales a fin de mitigar el grave impacto que una brecha de seguridad sobre esta categoría de datos podría tener sobre las personas físicas.

No obviando lo anterior, en la reunión con la CEOE, la AEPD indica que el tratamiento de datos biométricos con fines de control horario está autorizado siempre y cuando se aporten suficientes garantías.

Datos personales sensibles. Datos biométricos en el RGPD

Garantías para el tratamiento de datos biométricos con fines de control horario

¿Y cuales son esas garantías? La AEPD se respalda en la Opinion 3/2012 del GT29 sobre desarrollo de tecnologías biométricas (wp193), y en el informe del Gabinete jurídico 65/2015.

Garantías de la Opinión 3/2012 del Grupo de Trabajo del Artículo 29 sobre desarrollo de tecnologías biométricas (wp193)

Por lo que se refiere al wp193, el GT29 establece algunas garantías que pueden legitimar el control horario a través de datos biométricos:

  1. el cifrado;
  2. el almacenamiento de datos biométricos en un dispositivo personal pero no en un almacenamiento centralizado o en el sistema;
  3. que el sistema biométrico utilizado se asegure que la reutilización de los datos para otros fines es imposible; y
  4. que se pueda diseñar de modo que se pueda revocar el vínculo de identidad y con formatos o tecnologías que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobadas.

Informe del Gabinete Jurídico 65/2015

Por lo que se refiere al Informe del gabinete jurídico 65/2015, este trata sobre un colegio que quería controlar la asistencia de los alumnos al comedor y consultaban a la AEPD cómo podían establecer el control biométrico.

En este caso, que la Agencia nos dice que se puede extrapolar al ámbito laboral, la AEPD recomendó una solución técnica para instalar el control biométrico que es completamente legítima desde el punto de vista de la protección de datos y la privacidad:

En base a los principios de proporcionalidad y minimización, lo ideal sería que esos datos biométricos se incorporasen en una tarjeta inteligente en poder del usuario, que para acceder a las instalaciones utilizara la tarjeta y posicionara su huella sobre el lector.

De esta forma, en caso de que el algoritmo resultante del posicionamiento fuera coincidente con el de la tarjeta, sería posible el acceso y no se admitiría en caso de que no se produjera esa coincidencia. pero el sistema informático únicamente almacenaría la información identificativa del alumno pero en ningún caso la relacionada con el algoritmo de la huella dactilar, que estaría en la tarjeta personal.

Y termina aceptando que un sistema de esas características sería compatible con la protección de datos:

Con lo cual, un sistema de control biométrico que se de esa solución técnica perfectamente es compatible y es legitima desde el punto de vista de la AEPD.

Aplicación de los principios de protección de datos al registro de jornada laboral

Si bien la AEPD pone más énfasis en el principio licitud (finalidad legítima) que en el resto de principios de protección de datos, es necesario apuntar que los demás principios también deben ser observados al implementar un sistema de registro de jornada laboral con huella dactilar o datos biométricos y, en cierto modo, la AEPD también se refiere a ellos en otros momentos de la presentación.

Por lo que se refiere al principio de legitimación jurídica del empresario, la AEPD indica que descansa en:

  1. el contrato laboral;
  2. la potestad de control de la ejecución del contrato, reconocida en el art. 20 del ET;
  3. la obligación legal de registrar la jornada, del artículo 34 del ET; y
  4. Las obligaciones de informar sobre el tratamiento y las finalidades de control horario.

El consentimiento no es una base jurídica adecuada para legitimar un tratamiento con datos de los empleados.

En lo que concierne al resto de principios de protección de datos, es necesario señalar:

  1. el principio de transparencia, que te obliga a informar sobre el tratamiento y su finalidad a los empleados
  2. el principio de minimización, que conlleva que el sistema elegido sea lo menos intrusivo posible.
  3. el principio de conservación, que obliga a definir plazos de conservación y no conservar los datos durante más tiempo del estrictamente necesario. A este respecto, el apartado 9 del artículo 34 del ET establece un período de custodia de los registros de jornada durante cuatro años.

Finalmente, el mismo artículo 34.9 del ET también establece que los registros “permanecerán a disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social”, por lo que las comunicaciones de estos datos quedará legitimada también en el cumplimiento de una obligación laboral.

Registro de jornada laboral y control horario en teletrabajo

Geolocalización de trabajadores con lugar y horario de trabajo no tradicional (teletrabajo)

La segunda de las cuestiones que se trató en el encuentro de la AEPD y la CEOE es la protección de datos personales respecto al uso de dispositivos de geolocalización en trabajadores que no desarrollan actividades con un lugar y horario de trabajo tradicional, como en el teletrabajo.

En estos casos, la AEPD señala que las bases jurídicas serán las mismas que las ya vistas para el registro de jornada laboral y que en base al principio de minimización, el sistema deberá ser lo menos intrusivo posible.

Una sentencia que la AEPD ha estado revisando y es interesante para este caso es la Sentencia de la Audiencia Nacional 136/2019, de 6 de febrero, anulando el proyecto Tracker de Telepizza.

Este proyecto requería a sus repartidores la instalación de una aplicación en su teléfono móvil personal que permitía su geolocalización, transmitiendo esos datos personales a Telepizza.

En este caso, la AN consideró que Telepizza, además de incumplir con los deberes de información y consulta respecto de los RRTT, no había respetado el derecho a la privacidad de los trabajadores por cuanto el proyecto no superó el juicio de proporcionalidad, entrañaba un abuso de derecho por el empresario y suponía la creación de un régimen disciplinario al margen del convenio.

Y es que, en palabras del tribunal:

A- En primer lugar, porque la medida implantada, si bien obedece a fines constitucionalmente legítimos en el desarrollo del derecho a la libre empresa como son el control el empleado en el desempeño de su puesto de trabajo y la oferta de un mejor servicio al cliente- de forma que éste pueda conocer en todo momento la ubicación de su pedido, dotando a la empresa de capacidad para proporcionar servicios que se afirma ya ofrecen otras empresas del sector-, no supera a juicio de la Sala el necesario juicio de proporcionalidad. La misma finalidad se podría haber obtenido con medidas que suponen una menor injerencia en los derechos fundamentales de los empleados como pudieran ser la implantación de sistemas de geolocalización en las motocicletas en las que se transportan los pedidos o las pulseras con tales dispositivos que no implican para el empleado la necesidad de aportar medios propios y lo que es más importante, ni datos de carácter personal como son el número de teléfono o la dirección de correo electrónico en la que han de recibir el código de descarga de la aplicación informática que activa el sistema.

B.- En segundo lugar, porque además para la implantación del sistema de geolocalización por parte del empleador se ha prescindido de proporcionar a los trabajadores de la información a que se refieren los arts. 12 y 13 del Reglamento 679/2016 , 5 de la anterior Ley de protección de datos y 11 y 90 de la vigente LO 3/2018.

En resumen, utilizar el móvil personal de los trabajadores para localizarlos es una práctica más intrusiva, que quizá se pueda realizar pero aportando garantías adicionales y, desde luego, hace necesario proveer la información mínima a que obliga el RGPD.

Finalmente, según anunciaba Mar España, es de esperar para final de año que la AEPD publique una guía de relaciones laborales en materia de privacidad.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo