El regulador de privacidad considerará ilegales los sistemas biométricos usados para el control de entrada o registro horario salvo en circunstancias excepcionales
— Una sentencia pionera obliga a indemnizar a un trabajador por vigilarlo con reconocimiento facial sin permiso
La imposición del uso de la huella dactilar o el reconocimiento facial como método de entrada o control horario por parte de las empresas puede tener los días contados. La Agencia Española de Protección de Datos (AEPD) ha cambiado su criterio respecto al uso de los sistemas de biometría para el control de acceso, tanto con fines laborales como no laborales (como en gimnasios o clubes privados). A partir de ahora, el organismo los considerará sistemas prohibidos salvo que exista una circunstancia excepcional que justifique su uso por delante de métodos que no usen datos “de alto riesgo”.
La Agencia ha publicado este cambio de criterio en su reciente “Guía Tratamientos de control de presencia mediante sistemas biométricos”, que detalla la interpretación que hará a partir de ahora para valorar si estos métodos se ajustan a la normativa de protección de datos. Una actualización que justifica en que la rápida evolución de esta tecnología que ya “permite incluso recoger información sin la cooperación de la persona” o su conocimiento, así como que la inteligencia artificial “puede utilizarse para inferir información adicional sobre las personas”.
El principal cambio respecto al anterior criterio es que deja de considerar el visto bueno de las personas que lo usan como una legitimación suficiente para implantar un sistema de acceso basado en la huella o la cara. El regulador afirma que ese consentimiento no se otorga de forma libre si no existe en la empresa otra forma de entrar o de fichar.
“El consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo”, argumenta la AEPD. Cuando estos sistemas se imponen como control horario o presencial en las empresas, “se produce un desequilibrio de poder entre empleado y empleador que hace que este consentimiento no se proporcione libremente”, continúa.
Da igual que sea más barato o más sencillo
Hasta ahora la Agencia Española había considerado ese visto bueno del usuario como una base legal suficiente para el uso de biometría. Su postura oficial era “desaconsejar” el uso de la huella o la cara si otros métodos de menor impacto estaban disponibles, pero el consentimiento del usuario final unido a argumentos como que el sistema biométrico es más barato o sencillo de implantar conseguían pasar el filtro. También el de que evita irregularidades como la de que un empleado pueda fichar por otros, algo que permiten métodos como las tarjetas de radiofrecuencia.
A partir de ahora, no será así. El regulador recuerda que “el tratamiento de datos biométricos, tanto para identificación como para autenticación” es “un tratamiento de alto riesgo que incluye categorías especiales de datos”. Por tanto, “para poder tratar esas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime”. Un rango en el que la ventaja económica o sencillez de implantación no serán aceptados.
En la ley española no hay autorización alguna para considerar necesario el uso de datos biométricos para el control horario de la jornada de trabajo
¿Y cuáles sí lo estarán? “No es fácil contestar a esa pregunta: si hacemos caso en todo a la AEPD lo han dejado muy difícil”, expone Jorge García Herrero, abogado especialista en protección de datos. La Agencia no abunda demasiado en esas excepciones. “El responsable tiene la obligación de valorar muy seriamente y con diligencia si tiene una razón sólida para tratar categorías especiales de datos”, afirma en la Guía, aunque sí específica que casos no considerará excepciones: el control horario de las jornadas de los trabajadores ni la necesidad de ejecutar ningún tipo de contrato.
“En la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo”, zanja la AEPD.
Sistemas alternativos
La otra vía que la AEPD habilitaba para usar biometría también queda cerrada. Esta consistía en habilitar un sistema alternativo al que todos los usuarios puedan acogerse sin ceder sus datos biométricos. Para entrar a un espacio, por ejemplo, esa alternativa podía ser simplemente un timbre y la presencia de alguien en todo momento para abrir la puerta, sin que la persona esté obligada a usar su huella o su cara para entrar.
En el caso de existir ese sistema, la AEPD reconoce que el consentimiento del trabajador sí podría ser considerado como otorgado libremente y por lo tanto válido. Sin embargo, es ese mismo sistema alternativo el que ahora tumba la posibilidad de que se utilice biometría con el nuevo criterio más estricto: si se pueden establecer vías funcionales para que los empleados no usen biometría, entonces la opción biométrica no es estrictamente necesaria y no cumple bajo la nueva interpretación.
“Si existen alternativas disponibles al tratamiento de datos biométricos que impliquen menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar, que permitan que en un momento dado todos los trabajadores opten por otras alternativas, el procesamiento de datos biométricos deja de ser necesario”, sostiene el organismo en la Guía.
El giro: los empleados podrían exigir indemnizaciones
El cambio de criterio de la AEPD tiene un último giro asociado que no depende directamente del organismo. Se trata de la pionera sentencia que publicó elDiario.es que reconoció el derecho de un trabajador a recibir una indemnización de su empresa tras aplicarle biometría de manera ilegal. En aquel caso, un sistema de reconocimiento facial.
Esta guía ha puesto, de la noche a la mañana, en situación de incumplimiento por infracción muy grave a miles de empresas españolas
“Esta guía ha puesto, de la noche a la mañana, en situación de incumplimiento por infracción muy grave a miles de empresas españolas”, avisa Jorge García Herrero. Estas “pueden afrontar expedientes de la AEPD con sanciones en el entorno de los 20.000 euros, pero también y sobre todo, podrían llegar a ver como cada uno de sus empleados (o incluso los de sus contratas) les exigen indemnizaciones de daños y perjuicios por vía laboral”, continúa, recordando que en la citada sentencia el juzgado consideró ese uso ilegítimo de datos biométricos como una “falta muy grave” que lleva aparejada una sanción mínima de 6.251 euros.
El jurista ha recomendado a su clientes que estudien la sustitución de estos sistemas (en especial, los controles biométricos de fichaje) por opciones no biométricas. “Si bien existen vías para legitimar controles de acceso biométricos, parece muy arriesgado sostener su validez en todos los casos y para todos los trabajadores”, expone.