La implementación del registro de jornada laboral, instaurada oficialmente en 2019 tras la promulgación del Real Decreto-ley 8/2019, de 8 de marzo, marcó un antes y un después en la gestión del tiempo de trabajo en España. Las empresas han adoptado distintas tecnologías para cumplir con esta normativa, incluyendo sistemas biométricos como el reconocimiento facial y la huella dactilar. Sin embargo, el uso de estos métodos ha generado controversia respecto a su legalidad y conformidad con las regulaciones de protección de datos, especialmente a la luz de las directrices de la Agencia Española de Protección de Datos (AEPD) y el Reglamento General de Protección de Datos (RGPD).
Los datos biométricos, definidos en el artículo 4.14 del RGPD como aquellos obtenidos de características físicas, fisiológicas o conductuales que permiten identificar de manera unívoca a una persona, se consideran una categoría especial de datos personales por el artículo 9 del mismo reglamento. Esto implica una serie de restricciones y requisitos para su tratamiento, que afectan directamente al empleo de tecnologías biométricas en el ámbito laboral.
La AEPD, en su «Guía sobre tratamientos de control de presencia mediante sistemas biométricos» publicada el 23 de noviembre de 2023, establece criterios específicos sobre el uso legal de estos sistemas. Según la guía, el tratamiento de datos biométricos para control laboral o de presencia se considera no lícito a menos que cumpla con condiciones muy específicas. El consentimiento del empleado, por ejemplo, no es válido como justificación para el tratamiento de datos biométricos debido a la relación de desequilibrio entre empleado y empleador. Además, la guía enfatiza la necesidad de una normativa con rango de ley que autorice expresamente este tratamiento, la cual no existe actualmente en la legislación española.
Para garantizar la protección de los datos personales en el uso de sistemas biométricos, la AEPD recomienda una serie de medidas técnicas y organizativas. Estas incluyen informar adecuadamente a los sujetos de los datos, implementar medidas para revocar el vínculo entre la plantilla biométrica y la persona, asegurar la imposibilidad de usar los datos para otros fines, cifrar los datos para proteger su confidencialidad, integridad y disponibilidad, y suprimir los datos cuando dejen de ser necesarios para la finalidad que motivó su tratamiento.
La adopción de tecnologías biométricas en el ámbito laboral también requiere realizar una Evaluación de Impacto de Protección de Datos (EIPD) para determinar si el tratamiento propuesto es proporcional y necesario. Esta evaluación debe documentarse y podría resultar en la conclusión de que el tratamiento de datos biométricos no es viable bajo las circunstancias evaluadas.
Las empresas que incumplan estas directrices y continúen utilizando el reconocimiento facial o la huella dactilar como métodos de registro de jornada laboral sin las debidas justificaciones pueden enfrentarse a sanciones graves por parte de la AEPD. Esto se debe a que tales prácticas son consideradas invasivas y tratan categorías especiales de datos sin cumplir con los requisitos establecidos por la legislación en materia de protección de datos.
El control de presencia mediante sistemas biométricos en el trabajo es un tema complejo que involucra consideraciones legales significativas. La guía de la AEPD y las disposiciones del RGPD buscan equilibrar la necesidad de las empresas de registrar la jornada laboral de sus empleados con el derecho a la protección de datos personales. La legalidad del uso de tecnologías biométricas depende de la capacidad de las empresas para cumplir con estas normativas, asegurando que cualquier sistema implementado respete los derechos y libertades fundamentales de los trabajadores.