La nueva directiva europea sobre el uso de sistemas biométricos ha generado una serie de incertidumbres respecto a lo establecido por la última guía de la Agencia Española de Protección de Datos en materia de Control horario y los relojes de fichar para empresas. Justamente por eso, conviene analizar el impacto de esta nueva normativa y su aplicación en España.
Control horario en España y la nueva directiva de la UE sobre los sistemas biométricos
El Comité Europeo de Protección de Datos (CEPD) publicó en mayo de 2022 las directrices 05/2022 sobre el uso del reconocimiento facial en aplicaciones policiales. Estas directrices tienen el propósito de aclarar el tratamiento de datos biométricos, especialmente en el contexto del avance tecnológico y su impacto en la privacidad. Su aplicación, por lo tanto, se extiende hasta los criterios de control horario y los sistemas como el reloj de fichar.
Las directrices publicadas tienen un impacto directo en el tratamiento de datos biométricos en identificación y autenticación, dos aspectos cruciales en España, donde es obligatorio para las empresas llevar algún método de control horario para su fuerza laboral. Pero mientras la identificación biométrica compara datos de personas distintas, la autenticación lo hace con la información biométrica de una misma persona.
El CEPD enfatiza la necesidad de garantizar la calidad y exactitud de los datos utilizados, resaltando el derecho de los individuos a rectificar datos inexactos, según lo establece la Directiva 2016/680. Se advierte sobre posibles sesgos y errores que pueden representar un riesgo para los interesados si no se cumplen estas garantías cuando se utiliza un Reloj de fichar o algún otro sistema de control horario en el entorno laboral.
La fundamentación de esta posición se basa en la premisa de que el tratamiento de datos biométricos es considerado una vulneración de los derechos fundamentales, como el respeto a la vida privada y la protección de datos. Se indica que, a diferencia de otros métodos de control horario en los que los datos personales son modificables, los datos biométricos son permanentes y su transmisión representa un hecho irreversible.
Como dijimos, en nuestro país el control horario es una obligación que las empresas cumplen mediante sistemas de autenticación de Huella dactilar o reloj de fichar con algún componente biométrico. Hoy, estas se encuentran frente a la incertidumbre de su aplicación: la diferencia entre autenticación e identificación es un aspecto central de las directrices de la UE. Esto genera un conflicto y varias discrepancias con la posición de la Agencia Española de Protección de Datos (AEPD).
Esta publicó recientemente su guía sobre tratamientos de control de presencia mediante sistemas biométricos. La Agencia considera que la autenticación mediante técnicas de reconocimiento facial (TRF) no constituye un caso de categorías especiales de datos. Por eso, técnicamente muchos de los sistemas vigentes de autenticación biométrica podrían considerarse legítimos para el control horario.
Algunas empresas del sector cuentan con sistemas de autenticación que incluyen una alternativa a la tecnología biométrica para el control horario. Sin embargo, las directrices europeas se basan en el uso de reconocimiento facial en el ámbito policial. La guía de la AEPD no contempla la legitimidad de las disposiciones que una determinada empresa puede emplear para el control horario, donde el principal propósito es la seguridad de los empleados y los activos empresariales.
¿Cómo se puede aplicar el control horario sin sistemas biométricos?
La AEPD no ha definido demasiadas precisiones sobre el uso de datos biométricos en el control de acceso y registro de jornada laboral. En cambio, sí señaló que el consentimiento no es suficiente para validar estos tratamientos, debido al desequilibrio entre el individuo y el responsable del tratamiento, lo que podría condicionar la libertad de elección del empleado.
Según la guía, la evaluación de impacto para la protección de datos se vuelve obligatoria antes de cualquier tratamiento biométrico, donde se debe demostrar la idoneidad, necesidad y proporcionalidad del mismo. Además, se exige informar a las personas sobre los riesgos asociados, implementar medidas técnicas para revocar la identificación y proteger la confidencialidad de los datos biométricos, entre otras acciones.
El cumplimiento de una obligación legal, como el control de presencia según el Estatuto de los Trabajadores, solo es válido si existe una norma legal específica que lo permita y se demuestre su necesidad e idoneidad. La AEPD ha establecido condiciones estrictas que deben cumplirse para legitimar el uso de datos biométricos, y no se permite recurrir a bases de legitimación como la ejecución de un contrato o interés legítimo.
Estos requisitos obligatorios incluyen la gestión de riesgos desde el diseño, aplicar medidas técnicas adecuadas y superar una evaluación de impacto para la protección de datos, especialmente en casos de alto riesgo. La guía de la AEPD señala que, si se cumplen las condiciones de la normativa de protección de datos, la empresa puede implementar sistemas biométricos para el control horario en el ámbito laboral.
Es importante destacar además que otros mercados europeos como Francia, Suecia, Holanda y Alemania, en los que el uso de sistemas biométricos para el control horario está bastante extendido, tienen restricciones normativas o legislativas que no han sido eficaces en desalentar su uso. En estos países, existen sistemas que incluyen alternativas a la tecnología biométrica en los dispositivos de autenticación como el reloj de fichar.
Implicaciones y perspectivas futuras
La posición de la AEPD respecto al tratamiento de datos biométricos para el control horario establece algunos estándares bastante rigurosos en concordancia con el RGPD. Sin embargo, estos contrastan con algunas de las políticas adoptadas en otros mercados europeos como Francia, Suecia y Holanda, que han mantenido políticas más restrictivas durante años, sin éxito.
En efecto, a pesar de sus regulaciones estrictas, estos países han demostrado la persistencia de un mercado de dispositivos biométricos. Esto se debe a que los desarrolladores han incluido en la mayoría de los dispositivos de control horario la disponibilidad de tecnologías alternativas a la biométrica, permitiendo una continuidad operativa dentro de los márgenes legales.
Como dijimos, la AEPD circunscribe se a las directrices del CEPD en función del uso del reconocimiento facial en contextos policiales. Esta postura puede reflejar una preocupación legítima por la privacidad y los derechos individuales, pero no considera de manera extensiva los requisitos operativos y criterios de seguridad que las empresas necesitan para proteger a sus empleados y activos.
El documento subraya la importancia de la evaluación de impacto para la protección de datos antes de cualquier tratamiento biométrico. Este enfoque es crucial para garantizar el cumplimiento del RGPD y la minimización del riesgo, pero no define en sentido práctico qué implicaciones tiene para las empresas que deben cumplir con el control horario. La falta de precisiones en este sentido puede afectar su capacidad de implementar sistemas eficientes y seguros.
Por eso, muchos especialistas consideran que la discrepancia entre las políticas restrictivas y las necesidades empresariales podría generar un desafío significativo en sentido operativo durante los próximos años. Por un lado, se busca proteger la privacidad y los derechos de los individuos, mientras que, por otro, las empresas deben cumplir con ciertos criterios de seguridad y eficiencia operativa.
En definitiva, la nueva directiva de la UE sobre sistemas biométricos para el control horario plantea incertidumbres para la aplicación de la normativa en España, alineando las prácticas con el RGPD y las pautas de la AEPD. Sin embargo, la discrepancia con otras políticas europeas y la necesidad de equilibrar la privacidad con la seguridad suponen un desafío práctico para las empresas en la implementación de sistemas de control horario.