¿Es legal el uso de datos biométricos en el entorno laboral?

El uso de datos biométricos en el entorno laboral como sistema de identificación de los trabajadores ha sido considerado por la Asociación Española de Protección de Datos (AEPD) como “tratamiento de categorías especiales de datos de alto riesgo”.

Guía de la AEPD para el uso de Datos Biométricos en el entorno laboral

La AEPD publicó el pasado 23 de noviembre una GUÍA que fija los criterios para la utilización de la biometría en la identificación y el control de accesos de las personas. Esto afecta de forma muy directa a las empresas que usen estos sistemas y a los derechos de privacidad de los trabajadores.

La Agencia considera el uso de los datos biométricos como un tratamiento de alto riesgo, por ser una categoría de los llamados datos especiales. Según la RGPD, para tratar esas categorías hace falta una circunstancia que permita y legitime su uso.

En el caso del uso de datos biométricos en el entorno laboral, como el control de accesos o el registro de jornada, la guía establece que el responsable debe contar, además, con una norma con rango de ley que autorice expresamente su uso.

Y añade que el consentimiento del trabajador no sirve para levantar esa prohibición o ser una base para su licitud. Existe un desequilibrio entre el trabajador al que se somete al tratamiento y quien lo está llevando a cabo.

Así pues, con la publicación de esta guía de la AEPD, el uso de los datos biométricos en el entorno laboral ha sido puesto en cuestión. Enfrenta a muchas empresas con un serio problema.

De las Huellas Dactilares a la Inteligencia Artificial; qué son los Datos Biométricos

Los datos biométricos son los datos personales relativos a las características únicas del ser humano. Ya sean físicas, fisiológicas o asociadas al comportamiento, facilitan y garantizan la identificación de un individuo mediante sistemas o procedimientos tecnológicos.

El cuerpo de una persona tiene una gran cantidad de datos exclusivos y sensibles que pueden analizarse, codificarse y utilizarse en los procesos de identificación. Desde finales del siglo XIX comenzaron a utilizarse las huellas dactilares para este cometido.

Con el avance de la inteligencia artificial se han incorporado a este tipo de datos la voz, el reconocimiento facial, el análisis de la retina o del iris o el escaneo de la mano.

Estos datos biométricos proporcionan la capacidad de identificar a los individuos con un nivel de certeza y fiabilidad muy alto.

El  Cambio de Paradigma en el Entorno Laboral tras la Pandemia

Con la aprobación del Real Decreto-ley 8/2019 se regulaba la obligación para las empresas de llevar el registro de las horas trabajadas por sus empleados mediante fichaje o control presencial u horario, con el fin de combatir la precariedad laboral.

Pocos meses después de la aprobación de este decreto, la pandemia extendió el tele-trabajo a casi todas las empresas y, con esta nueva forma de trabajar, se produjo una evolución en la digitalización que alcanzó también a los sistemas de control.

Así, en muchas organizaciones se instalaron controles de acceso y registros de jornada mediante sistemas de datos biométricos para poder llevar un control más preciso de los trabajadores. Pero, ¿son compatibles estos sistemas con la protección de la privacidad de los trabajadores?

Información al trabajador, Idoneidad, Necesidad y Proporcionalidad

El hecho de que el uso de este tipo de controles que utilizan datos biométricos en el entorno laboral se extendiera a todas las empresas no era garantía de que su uso fuera legal.

Los métodos de control de acceso a edificios y de registro de jornada mediante datos biométricos, tales como la huella dactilar, reconocimiento facial, o la voz, implican la recogida de datos especialmente sensibles que suponen un riesgo para el empleado que podría ver invadida su intimidad.

La Guía de la AEPD establece que para que los datos biométricos puedan utilizarse en el entorno laboral el trabajador ha de ser informado de su finalidad. Además, se debe contar con su consentimiento explícito otorgado de forma inequívoca y libre. 

También hay que demostrar que su uso es necesario para cumplir obligaciones de derecho laboral (siempre que así lo autorice una norma europea o nacional). Y hay que justificar la idoneidad y proporcionalidad de implantar estas medidas.

Aunque se diesen estos supuestos, la Guía dice que en cualquier caso debería arbitrarse una alternativa menos invasiva en su privacidad para aquellos empleados que no consientan el tratamiento de sus datos biométricos.

También establece que en el caso de que se quieran recoger datos biométricos es obligatorio realizar una Evaluación de Impacto para la Protección de Datos (EIPD) de forma previa al inicio del tratamiento.

Soluciones alternativas que garanticen los Derechos de los Trabajadores

Así pues, las directrices que marca la Guía de la AEPD son un torpedo en la línea de flotación de los sistemas de identificación biométrica en general y, particularmente, en los controles tanto de presencia como de acceso en el ámbito laboral. 

Nalanda cuenta con un sistema para el control de accesos que cumple con todos los requerimientos de la AEPD, ya que incorpora lectores para tags RFID y QR digitalizados, dinámicos y encriptados que no suponen intromisión en la privacidad de los trabajadores.

Esta tecnología, además de no considerarse invasiva por la AEPD, aporta muchas ventajas:

• Es segura: al estar encriptada y evita la suplantación de identidad.
• Es económica: elimina costes por la compra de credenciales físicas.
• Es ágil: identifica en menos de 1 segundo.
• Es limpia: no genera residuos plásticos.

Además, el sistema también puede condicionar los accesos a cualquier tipo de documentación, capacitación para los oficios que van a desempeñar o los riesgos en los que puedan incurrir los trabajadores propios o los de las subcontratas.

Así pues, a la vista de que el uso de los datos biométricos en el entorno laboral va a enfrentarse a muchas trabas, va a ser necesario encontrar un equilibro entre el uso de tecnología avanzada para el control laboral y el respeto a la legítima privacidad de los trabajadores.