La presente nota técnica es una actualización de la anterior, que ya era una actualización (“Sistemas de registro horario y el tratamiento de datos biométricos a raíz de las últimas resoluciones de las autoridades de control -actualización-)” a raíz de la publicación de la guía de la “sobre tratamientos de control de presencia mediante sistemas biométricos”, título que creo, desde el inicio, desacertado a tenor del contenido de la misma.
La Agencia Española de Protección de Datos (AEPD) ha venido informando y dando a conocer su criterio sobre el uso de sistemas de registro horario mediante el tratamiento de datos biométricos, como la huella dactilar, a través de la publicación de distintas resoluciones sancionadoras que, más o menos acertadamente, establecían los requisitos para el uso de estos sistemas. El criterio inicial, que permitía y legitimaba el tratamiento de datos biométricos para el registro de jornada se ha ido modulando hasta llegar al criterio que se expone en la indicada guía publicada el pasado mes de noviembre, que hace, prácticamente imposible (dejando alguna vía abierta), el tratamiento para dicha finalidad, si bien es cierto que contraviene, a su vez, el criterio que mantienen algunas autoridades de control.
1. ¿Qué son los datos biométricos?
El art. 4 (14) del RGPD define como datos biométricos aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Asimismo, el considerando 51 establece, respecto de las imágenes, su exclusión de la categoría de datos biométricos, salvo que las mismas “sean tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.
La biometría, se refiere por tanto al análisis de una serie de características distintivas de cada persona, en el sentido de ser características únicas, intransferibles, inolvidables y que, en principio, serán inalterables a lo largo del tiempo, por lo que un tratamiento inadecuado de datos biométricos puede tener consecuencias desfavorables importantes sobre el interesado.
2. ¿Cuándo, los datos biométricos, se califican como datos de categoría especial?
El art. 9.1 del RGPD establece la prohibición general de tratar datos personales de categoría especial entre los que se encuentran los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
Teniendo en cuenta lo anterior, el criterio de la AEPD ha sido (ya no lo es, como veremos) que únicamente tendrían la consideración de datos de categoría especial en “los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).»
Se constata, por tanto, que la autoridad de control diferenciaba entre dos tipos de tratamiento: (a) los dirigidos a verificar o autenticar una persona física y (b) los dirigidos a identificar a una persona física entre varias y, únicamente en este último caso, para la AEPD, los datos biométricos tendrían la categoría de dato de categoría especial y, consiguientemente, para proceder a su tratamiento, debería concurrir una de las excepciones previstas en el art. 9.2 RGPD. La diferencia entre uno y otro tratamiento se ve mucho más clara en la siguiente imagen:
Como vemos, la VERIFICACIÓN (o búsqueda uno a uno) compara una imagen con otra imagen del mismo individuo. Por ejemplo, para verificar la identidad de una persona que intenta desbloquear un smartphone, en cambio la IDENTIFICACIÓN (o búsqueda de uno a varios) compara una imagen de un solo individuo con una galería de imágenes de varios individuos para determinar si existe coincidencia potencial y, por tanto, habrá que verificar la posible aplicación de alguna de las excepciones previstas en el art. 9.2 RGPD para levantar prohibición, esto es lo que sucede en la inmensa mayoría de sistemas biométricos para el registro horario.
Como decíamos, este venía el criterio de la AEPD hasta hace escasos meses, a los efectos de considerar un dato biométrico como dato de categoría especial (lo que entendía, ocurría, únicamente en el caso de la identificación), no obstante, este criterio no era en su momento compartido, por ejemplo, por la Autoridad de Protección de Datos de Catalunya (APDCAT) entre otros, puede verse el Dictamen 21/2020, en el que establecía que los tratamientos de datos biométricos, tanto destinados a la identificación como a la autenticación, en todo caso, deberían ser considerados un tratamiento de datos personales de categoría especial del art. 9.1 RGPD por lo que habrá que contar con una excepción que levante la prohibición general de tratamiento de las previstas en el art. 9.2 RGPD, si es que existe, para el supuesto concreto.
Otra de las resoluciones recientes de la APDCAT es la del procedimiento sancionador PS 41/2022, en que se sanciona con 20.000.-€ a una universidad por utilizar sistemas de reconocimiento facial durante la realización de pruebas online de los alumnos. La APDCAT reitera su criterio y establece que tanto para los supuestos de autenticación como identificación los datos biométricos son de categoría especial puesto que van dirigidos a identificar de manera única al individuo y, consiguientemente, debe levantarse la prohibición del 9.1 RGPD.
El criterio de la APDCAT establece que con la identificación se pretende determinar la identidad de una persona (¿quién es?), mientras que con la autenticación se pretender confirmar o desmentir la identidad (¿es quien dice ser?), no obstante, esto último requiere previamente un proceso de identificación de dicha persona, por lo que cuando el art. 9.1 RGPD se refiere a la “identificación unívoca de una persona” se está refiriendo también a la autenticación de la identidad. En este sentido la la Commission Nationale de l’informatique et des libertés (CNIL) en la Délibération n° 2019-001 du 10 janvier 2019 o el Garante per la protezione dei dati personali (doc. web núm. 9051774 o doc. web núm. 9147290).
3. Publicación de las “Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement».
La AEPD indicó en uno de sus últimos informes (sobre el uso de reconocimiento facial para el acceso a gradas de animación -Informe 0098/2022-) que su criterio sobre la catalogación de los datos biométricos como datos de categoría especial o no, vendría finalmente determinado por lo que estableciera el EDPB en sus “Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement». Pues bien, las mismas ya tienen carácter definitivo y establecieron que:
No obstante, dicho criterio quedaba supeditado a lo que pudiera establecerse por el Comité Europeo de Protección de Datos o, en su caso, por los órganos jurisdiccionales. Y, en este sentido, las Directrices 5/2022 del Comité Europeo de Protección de Datos (Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement) pendientes en este momento de adopción definitiva tras haber finalizado el proceso de consulta pública, se apartan claramente de dicha diferenciación entre autenticación/verificación e identificación al objeto de determinar el tratamiento de datos biométricos como categoría especial en su apartado 12, concluyendo que ambos supuestos implican el tratamiento de categoría especiales de datos:
While both functions — aunthentication and identification — are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore contitute a processing of personal data, and more specifically a processing of special categories of personal data.
Por consiguiente, si dicho criterio se mantiene en el momento en que se proceda a su adopción definitiva, resultará necesario revisar nuestro criterio para adecuarlo al mantenido por el Comité Europeo de Protección de Datos, entendiendo que el tratamiento de datos biométricos, tanto en los supuestos de autenticación/verificación como de identificación implica un tratamiento de categorías especiales de datos, sometido al régimen de prohibición general y excepciones del artículo 9 del RGPD.
Así las cosas, desde el momento en que finalizó el periodo de consulta pública de las indicadas Directrices, cabe suponer que la AEPD modificó su criterio, entendiendo que, desde tal momento, los datos biométricos dirigidos a identificar o autenticar debía ser considerados de categoría especial y, consiguientemente, debería contarse en todo caso con una de las excepciones previstas en el art. 9.2 RGPD para levantar la prohibición general de tratamiento.
4. ¿Cuál era la base de legitimación utilizada por la AEPD para el tratamiento de datos biométricos para el registro horario?
A los efectos de realizar el tratamiento de datos biométricos para la llevanza del registro de jornada es necesario contar, además de con una de las bases de legitimación establecidas en art. 6.1 RGPD, con una de las excepciones previstas en el art. 9.2 (sea autenticación o identificación, ante, según la AEPD solo si se trataba de identificación uno a carios). La AEPD vino estableciendo en sus resoluciones (PS/00127/2020 o PS/00128/2020), como base de legitimación idónea para el tratamiento de datos biométricos con la finalidad de llevanza del registro de jornada, la establecida en el art. 6.1 b) y la excepción del 9.2 b), esto es:
“el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
No obstante, ni existe ni existía Ley que autorizase la realización del registro mediante datos biométricos, por lo que la excepción del 9.2 b) RGPD devenía, de facto, inaplicable, salvo que dicha obligación constase, en su caso, en un convenio colectivo, como ya indicó la APDCAT en el Dictamen CNS 2/2022. Asimismo, la base de legitimación también parece inadecuada, pues el tratamiento debía venir fundado en el cumplimiento de una obligación legal (art. 6.1 c) RGPD) si se trataba del tratamiento para cumplimentación del registro horario, sin perjuicio de la necesaria excepción para tratar, en su caso, el dato biométrico. Cuestión distinta sería el tratamiento de esos mismos datos para el control de presencia.
No obstante, se avecinaba cambio de criterio y la AEPD en el PS 00218/2021, parece que, de manera incipiente, empieza a modificarlo respecto al tratamiento de datos biométricos para esta finalidad al sancionar al Responsable (con apercibimiento) por establecimiento de un sistema de reconocimiento facial para el registro de jornada, indicando expresamente (por fin) que la necesidad de realizar el registro de jornada «sólo alcanza a la obligación de realizarla, pero NO A REALIZARLA UTILIZANDO DATOS BIOMÉTRICOS y su uso, sin causa de excepción para el tratamiento, supone la infracción del artículo 9.2.b) del RGPD«, por tanto, se carece de excepción que levante la prohibición general para ello.
A tenor de lo anterior, si antes podíamos decir que, según el criterio de la AEPD, únicamente cabría el tratamiento de datos biométricos para el registro de jornada si los mismos no se consideraban de categoría especial y se utilizaba, por tanto, únicamente, una de las bases de legitimación de las previstas en el art. 6.1, realizando, eso sí, un tratamiento dirigido a la autenticación (“uno a uno” y en ningún caso “uno a varios”), ahora ello, como ya indicaba la APDCAT, tampoco sería posible al considerarse un dato de categoría especial, cuanto menos, como veremos, en aplicación de la excepción prevista en el 9.2b) RGPD, sin perjuicio, en su caso de la posible aplicación de otra de las excepciones contempladas en dicho artículo.
5. Criterios posteriores de otras autoridades de control sobre la licitud del tratamiento de datos biométricos para el registro de jornada laboral. Especial referencia al consentimiento.
Algunas autoridades de control, durante este año, han abierto la vía a obtener el consentimiento de los trabajadores para que el empresario pueda utilizar sistemas biométricos para llevar a cabo el registro de jornada.
La APDCAT, tal y como anticipó ya anticipó en el Dictamen CNS 2/2022, al que ya se ha hecho referencia, indica en su Dictamen CNS 19/2023, de fecha 28 de julio de 2023, haciendo a su vez referencia al anterior que:
(…) “no parece que la base jurídica del consentimiento sea idónea para legitimar el tratamiento de los datos del personal con la finalidad de control horario del personal, ya que no se puede considerar que en el caso planteado pudiera haber un consentimiento realmente libre. En este sentido, podría considerarse que existe consentimiento libre si el interesado dispone de una alternativa para cumplir con el control horario o controlar su presencia o ejecución del horario, y es este quien escoge y presta su consentimiento al tratamiento de los datos biométricos a través de sistemas de reconocimiento facial, pero no parece que sea así en un cao como el que se describe en la consulta”.
Y concluye estableciendo que: “El consentimiento puede ser una base jurídica habilitante del tratamiento de datos biométricos con la finalidad de control horario siempre que este constituya una manifestación de voluntad libre, específica, informada e inequívoca por parte del interesado (…) En cualquier caso, antes de llevar cabo un tratamiento como el que plantea la consulta, deberá realizarse una evaluación de impacto sobre la protección de datos a la vista de las circunstancias concretas en que se lleve a cabo el tratamiento donde se analice, entre otras cuestiones, la licitud del tratamiento”.
En este mismo sentido, el Dictamen 1/2023, de fecha 28 de julio de 2023, del Consejo de Transparencia y Protección de Datos de Andalucía en el que el consultante expone la licitud o no de un sistema de reconocimiento facial o con huella dactilar para el control horario del personal indica, respecto a la utilización del consentimiento como base de legitimación (o mejor dicho, excepción), establece que: “Completando lo expuesto, también podría considerarse el levantamiento de la prohibición del tratamiento de datos biométricos por concurrencia de la prestación del consentimiento explícito por parte del interesado para el tratamiento de dichos datos personales con uno o más de los fines especificados (salvo establecimiento expreso contrario a tal sentido por parte del derecho de la Unión o de sus estados miembros), según se establece en el artículo 9.2 a) del RGPD”.
(…) “Trasladado esto al supuesto que nos ocupa, únicamente podría considerarse la existencia de un consentimiento libre si el interesado dispone de una alternativa de libre elección para cumplir con el control horario o de presencia, es decir, en expresión del propio Dictamen 1/2022: “para que dicho consentimiento se considere otorgado libremente han de habilitarse alternativas de modo que pueda atenderse a los interesados sin que se tenga que realizar un tratamiento de sus datos biométricos”.
Así, en dichas resoluciones no se descarta que el consentimiento pueda ser una base de legitimación idónea para el tratamiento de datos biométricos para el registro diario de jornada si bien es cierto que se establece que para que ese consentimiento pueda considerarse prestado libremente, debería facilitarse al interesado, al trabajador, una alternativa viable e igual de válida y que guarde el debido equilibrio con la posibilidad de realizar el registro mediante datos biométricos.
En este mismo sentido se manifestaba la autoridad británica en su guía «Employment practices and data protection − Monitoring workers«, esto es, que las empresas pueden basarse en el consentimiento para tratar datos biométricos con la finalidad de registro de jornada si se ofrece una alternativa para que el consentimiento sea libre, por ejemplo, mediante una tarjeta o un código para aquellos que no deseen facilitar sus datos biométricos.
El hecho de que, en su caso, se pueda optar por esta base legal, no obsta a que, en cualquier caso, deba realizarse la correspondiente evaluación de impacto y análisis de la proporcionalidad y necesidad del tratamiento.
6. Portazo de la AEPD al consentimiento. Publicación de la guía sobre tratamientos de control de presencia mediante sistemas biométricos. ¿Existen alternativas?
Vaya por delante que las guías emitidas por las autoridades de control no tienen carácter normativo, son instrumentos de “soft law” que, en cualquier caso, nos van a determinar el sentido de ulteriores resoluciones por parte de la autoridad de control.
En la indicada guía, la AEPD, reconsidera su postura sobre el tratamiento de datos biométricos para el registro de jornada, indicando algo que ya era claro y meridiano, esto es, que en la actual normativa legal española no se contiene autorización suficientemente específica alguna para aplicar la excepción del art. 9.2 b) RGPD. Dicha previsión legal, debería contemplar expresamente el tratamiento de datos biométricos para la indicada finalidad si bien, en cualquier caso, debería realizarse un examen de la necesidad (si no existen otros medios igual de eficaces y menos intrusivos que logren conseguir la finalidad) idoneidad (niveles adecuados de calidad) y proporcionalidad (equilibrio entre los intereses y derechos afectados), esto es, debe superarse positivamente, a través de la correspondiente EIPD, el triple juicio de proporcionalidad.
En cuanto al consentimiento (art. 9.2 a) RGPD), debe partirse de la base de la situación de desequilibrio de la que se parte en el ámbito laboral, por el temor que puede tener el interesado a las consecuencias negativas que una falta de consentimiento puede conllevar en sí situación laboral, lo que afecta a la libertad en la prestación del consentimiento. No obstante, como hemos visto en las anteriores resoluciones de las autoridades de control catalana y andaluza, así como en la guía de la ICO, la libertad en el consentimiento por parte del trabajador podía lograrse a través de la facilitación de una opción alternativa que no conllevase el tratamiento de datos biométricos.
Sin embargo, esa vía que haría “libre” el consentimiento, para la AEPD supone, a su vez, la constatación de la existencia de otros mecanismos menos gravosos para el interesado, con lo cual el sistema biométrico no superaría el test de necesidad y, consiguientemente, no se estaría cumpliendo con lo establecido en el art. 5.1 c) RGPD al dejar de ser, el tratamiento de datos biométricos, necesario.
¿Supone lo anterior que no puede llevarse a cabo el tratamiento en ningún caso? En principio, no debería, siempre que pueda acreditarse esa “necesidad”, por ejemplo, al haberse considerado totalmente ineficaces, desde distintas perspectivas, los anteriores métodos utilizados por la empresa. Cuestión distinta sería el supuesto de control de accesos con fines no laborales al deber determinarse, dicha necesidad, desde un punto de vista ya no laboral, sino de protección de instalaciones o establecimiento de medidas de seguridad (por ejemplo. en sectores estratégicos). No obstante, es igualmente cierto que para que el consentimiento pudiera ser considerado libre, habría que facilitar esa alternativa al interesado, alternativa, que se supone, debería ser efectiva de igual manera que la que supone el tratamiento de datos biométricos, lo cual haría, de facto, este último innecesario, según el criterio de la AEPD.
Lo anterior, por tanto, conduce a la previsión en una norma con rango de Ley (o de un convenio colectivo) si bien debe acreditarse, de todas maneras, la necesidad, idoneidad y proporcionalidad del tratamiento a través de la previa EIPD, sin que fuera preceptivo en este caso, facilitar una alternativa al interesado al no optarse por el consentimiento, si bien debe acreditarse en la EIPD que las alternativas existentes no son viables desde el punto de vista del triple test de proporcionalidad.
Sobre la base de legitimación, si previamente no se consigue levantar la prohibición se hace indiferente contar con una base del art. 6.1 RGPD (letra c) para el registro de jornada).
Otra de las opciones contempladas en el art. 9.2 b) es la previsión del tratamiento en un convenio colectivo, lo que supone, igualmente, además de la complejidad de su negociación, la acreditación, por parte del responsable, de que el tratamiento es “necesario” en el sentido indicado.