Algunes reflexions sobre l’ús de sistemes de registre horari i el tractament de dades biomètriques a conseqüència de les últimes resolucions de la AEPD


La Agencia Española de Protección de Datos (AEPD) ha venido informando y dando a conocer su criterio sobre el uso de sistemas de registro horario mediante el tratamiento de datos biométricos, como la huella dactilar, mediante la publicación de distintas resoluciones sancionadoras que, más o menos acertadamente, establecen los requisitos para el uso de estos sistemas. La intención de la presente es realizar un repaso (crítico) a las últimas resoluciones que se han manifestado acerca del uso de sistemas biométricos para el registro de la jornada laboral.

¿Qué son los datos biométricos?

El art. 4 (14) del RGPD define como datos biométricos aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Asimismo, el considerando 51 establece, respecto de las imágenes, su exclusión de la categoría de datos biométricos, salvo que las mismas “sean tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.

La biometría, se refiere por tanto al análisis de una serie de características distintivas de cada persona, en el sentido de ser características únicas, intransferibles, inolvidables y que, en principio, serán inalterables a lo largo del tiempo, por lo que un tratamiento inadecuado de datos biométricos puede tener consecuencias desfavorables importantes sobre el interesado.

¿Cuándo, los datos biométricos, se califican como datos de categoría especial?

El art. 9.1 del RGPD establece la prohibición general de tratar datos personales de categoría especial entre los que se encuentran los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”.

Teniendo en cuenta lo anterior, el criterio de la AEPD es que únicamente tendrán la consideración de datos de categoría especial en “los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).”

Se constata, por tanto, que la autoridad de control diferencia entro dos tipos de tratamiento, los dirigidos a verificar o autenticar una persona física y los dirigidos a identificar a una persona física entre varias y, únicamente en este caso, para la AEPD, los datos biométricos tendrían la categoría de dato de categoría especial y, consiguientemente, para proceder a su tratamiento, debería concurrir una de las excepciones previstas en el art. 9.2 RGPD. La diferencia entre uno y otro tratamiento se ve mucho más clara en la siguiente imagen:

Como vemos, la VERIFICACIÓN (o búsqueda uno a uno) compara una imagen con otra imagen del mismo individuo. Por ejemplo, para verificar la identidad de una persona que intenta desbloquear un smartphone, en cambio la IDENTIFICACIÓN (o búsqueda de uno a varios) compara una imagen de un solo individuo con una galería de imágenes de varios individuos para determinar si existe coincidencia potencial y, por tanto, habrá que verificar la posible aplicación de alguna de las excepciones previstas en el art. 9.2 RGPD para levantar prohibición.

Como decíamos, este es el criterio de la AEPD a los efectos de considerar un dato biométrico como dato de categoría especial (lo que entiende, ocurre, únicamente en el caso de la identificación), no obstante, este criterio no es compartido, por ejemplo, por la Autoridad Catalana de Protección de Datos (Dictamen 21/2020) que entiende que el tratamiento de datos biométricos, tanto destinados a la identificación como a la autenticación, en todo caso va a ser considerado un tratamiento de datos personales de categoría especial del art. 9.1 RGPD y para lo que habrá que contar con una base de legitimación “adicional” de las previstas en el art. 9.2 RGPD.

El criterio de la APDCAT (que creo es más acertado) es que con la identificación se pretende determinar la identidad de una persona (¿quién es?), mientras que con la autenticación se pretender confirmar o desmentir la identidad (¿es quien dice ser?), no obstante, esto último requeriría previamente un proceso de identificación de dicha persona, por lo que cuando el art. 9.1 RGPD se refiere a la “identificación unívoca de una persona” se está refiriendo también a la autenticación de la identidad. En este sentido la la Commission Nationale de l’informatique et des libertés (CNIL) en la Délibération n° 2019-001 du 10 janvier 2019 o el Garante per la protezione dei dati personali (doc. web núm. 9051774 o doc. web núm. 9147290).

¿Cuál es la base de legitimación para proceder al tratamiento de datos biométricos?

A los efectos de realizar el tratamiento de datos biométricos para la llevanza del registro de jornada es necesario contar, además de con una de las bases de legitimación establecidas en art. 6.1 RGPD, con una de las excepciones previstas en el art. 9.2. La AEPD ha venido estableciendo en sus últimas resoluciones (PS/00127/2020 o PS/00128/2020), como base de legitimación idónea para el tratamiento de datos biométricos con la finalidad de llevanza del registro de jornada, además de la establecida en el art. 6.1 b) la establecida en el art. 9.2 b), esto es:

“el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.

No obstante, debe tenerse en cuenta que para aplicar esta excepción sobre el tratamiento de datos de categoría especial (que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) debe, además de ser necesario para el cumplimiento de obligaciones y el ejercicio de derechos, que en este caso serían los contenidos en el art. 20.3 y/o 34.9 del Estatuto de los Trabajadores, estar autorizado el tratamiento de datos biométricos de manera específica por el derecho de la UE o de los estados miembros para esa finalidad en concreto, cosa que, S.E.U.O. no ocurre.

Por ello, únicamente cabría el tratamiento de datos biométricos para el registro de jornada si, siguiendo el criterio de la AEPD, los mismos no se consideran de categoría especial y se utiliza, por tanto, únicamente, una de las bases de legitimación de las previstas en el art. 6.1, realizando, eso sí, un tratamiento dirigido a la autenticación (“uno a uno” y en ningún caso “uno a varios”).

¿Cuáles son los requisitos adicionales para proceder al tratamiento?

Si seguimos el criterio de la AEPD que venimos exponiendo (cada cual deberá concluir si es válido o no) además de contar con una base de legitimación del art. 6.1 y una excepción del art. 9.2 RGPD el responsable del tratamiento deberá:

  • Facilitar información al interesado de manera completa, clara, concisa y con referencia a las bases legales que permiten el tratamiento.
  • Realizar una EIPD para evaluar tanto la legitimidad del tratamiento y su proporcionalidad, como la determinación de los riesgos existentes y las medidas para mitigarlos. Ya se ha visto la primera sanción de la AEPD (PS/00050/2021) por un importe de 20.000.-€ por no haberse realizado Evaluación de Impacto antes del tratamiento de datos biométricos.
  • Cumplir con los principios de limitación, necesidad, proporcionalidad y minimización.
  • Utilizar plantillas biométricas específicas para el tratamiento y no reutilizarlas para otra finalidad.
  • Usar mecanismos de cifrado de los datos.
  • Establecer la posibilidad de revocar el vínculo de identidad.