Datos biométricos en el ámbito laboral: Cómo captarlos de manera lícita
El tratamiento de los datos biométricos en el ámbito laboral es un tema de actualidad ya que una de las herramientas que más utilizadas actualmente para llevar el control de la jornada laboral es el sistema de fichaje biométrico.
Este tipo de sistemas captan y almacenan determinados datos de los trabajadores como la huella dactilar, la voz o los rasgos faciales, posibilitando de esta manera que se registren las entradas y salidas. El tratamiento de estos datos especialmente sensibles por parte de la empresa puede suponer un riesgo para el empleado, ya que se produce una invasión de la privacidad y, por esta razón, es necesario cumplir una serie de requisitos para captarlos de manera lícita.
¿Qué son los datos biométricos?
Estos datos se definen en el Reglamento General de Protección de Datos (RGPD) como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Esta clase de datos es considerada como una categoría especial y, en este sentido, el artículo 9 del RGPD viene a establecer que queda prohibido el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física.
¿Cuándo pueden tratarse este tipo de datos?
Hay una serie de excepciones a este artículo 9, y es que los datos biométricos pueden tratarse en algunos casos como son, por ejemplo: que el interesado haya dado su consentimiento explícito para ello, que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o un convenio colectivo, que el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona física, que el tratamiento se refiera a datos personales manifiestamente públicos o que el tratamiento sea necesario por razones de un interés público esencial o para fines de medicina preventiva o laboral.
De acuerdo con lo anterior, el tratamiento de datos biométricos para controlar el cumplimiento de la jornada laboral podría sustentarse en el consentimiento explícito del interesado, o bien el interés legítimo del responsable del tratamiento para cumplir con obligaciones y derechos específicos que le atañen. En lo que respecta a esta segunda base legitimadora, la Agencia Española de Protección de Datos (AEPD) ha declarado que en el artículo 20 del Estatuto de los Trabajadores se prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores.
Obligaciones de la empresa para el uso de datos biométricos en el ámbito laboral
Si una empresa quiere hacer uso de sistemas de fichaje biométrico será necesario que cumpla, en primer lugar, con el deber de informar a los trabajadores sobre el uso de estos sistemas y de las finalidades del tratamiento. Y junto con el deber de informar al trabajador, la empresa deberá realizar una Evaluación de Impacto, que es una herramienta que permite identificar y evaluar adecuadamente los riesgos del tratamiento de estos datos.
Elaborar una Evaluación de Impacto es necesario cuando un tipo de tratamiento, en particular si se utilizan nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas. La empresa, con el fin de cumplir con el RGPD, debe dejar constancia de cuestiones como quién tiene acceso a esos datos o qué medidas de seguridad se aplican, entre otras.
Teniendo en cuenta todo lo anterior, las empresas que utilicen sistemas de fichaje biométricos para controlar la jornada laboral deberán utilizar como base de legitimación el interés legítimo para cumplir con sus obligaciones legales para el uso de este tipo de tecnologías, deberán respetar los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos, así como disponer de un Registro de actividades donde se especifiquen estos nuevos tratamientos de datos, informar a su personal sobre estos tratamientos y proceder a realizar una Evaluación de Impacto.
Asimismo, deben emplearse mecanismos basados en tecnologías de cifrado, con el fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos y estos datos deberán ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos una vez finalice la relación laboral con el empleado.