Los datos biométricos, definidos en el artículo 4.14 del RGPD como aquellos obtenidos de características físicas, fisiológicas o conductuales que permiten identificar de manera unívoca a una persona, se consideran una categoría especial de datos personales por el artículo 9 del mismo reglamento. Esto implica una serie de restricciones y requisitos para su tratamiento, que afectan directamente al empleo de tecnologías biométricas en el ámbito laboral.
La AEPD, en su «Guía sobre tratamientos de control de presencia mediante sistemas biométricos» publicada el 23 de noviembre de 2023, establece criterios específicos sobre el uso legal de estos sistemas. Según la guía, el tratamiento de datos biométricos para control laboral o de presencia se considera no lícito a menos que cumpla con condiciones muy específicas. El consentimiento del empleado, por ejemplo, no es válido como justificación para el tratamiento de datos biométricos debido a la relación de desequilibrio entre empleado y empleador. Además, la guía enfatiza la necesidad de una normativa con rango de ley que autorice expresamente este tratamiento, la cual no existe actualmente en la legislación española.
Para garantizar la protección de los datos personales en el uso de sistemas biométricos, la AEPD recomienda una serie de medidas técnicas y organizativas. Estas incluyen informar adecuadamente a los sujetos de los datos, implementar medidas para revocar el vínculo entre la plantilla biométrica y la persona, asegurar la imposibilidad de usar los datos para otros fines, cifrar los datos para proteger su confidencialidad, integridad y disponibilidad, y suprimir los datos cuando dejen de ser necesarios para la finalidad que motivó su tratamiento.
La adopción de tecnologías biométricas en el ámbito laboral también requiere realizar una Evaluación de Impacto de Protección de Datos (EIPD) para determinar si el tratamiento propuesto es proporcional y necesario. Esta evaluación debe documentarse y podría resultar en la conclusión de que el tratamiento de datos biométricos no es viable bajo las circunstancias evaluadas.
Las empresas que incumplan estas directrices y continúen utilizando el reconocimiento facial o la huella dactilar como métodos de registro de jornada laboral sin las debidas justificaciones pueden enfrentarse a sanciones graves por parte de la AEPD. Esto se debe a que tales prácticas son consideradas invasivas y tratan categorías especiales de datos sin cumplir con los requisitos establecidos por la legislación en materia de protección de datos.
El control de presencia mediante sistemas biométricos en el trabajo es un tema complejo que involucra consideraciones legales significativas. La guía de la AEPD y las disposiciones del RGPD buscan equilibrar la necesidad de las empresas de registrar la jornada laboral de sus empleados con el derecho a la protección de datos personales. La legalidad del uso de tecnologías biométricas depende de la capacidad de las empresas para cumplir con estas normativas, asegurando que cualquier sistema implementado respete los derechos y libertades fundamentales de los trabajadores.