Actualizado: 23 mayo, 2024
Índice de contenidos
Antecedentes sobre el control de jornada mediante sistemas biométricos (dispositivos de huella)
Los sistemas de control biométrico de entrada se han utilizado durante años en España para registrar la jornada laboral de los empleados. Sin embargo, la normativa que regula su uso ha cambiado varias veces en los últimos años, lo que ha generado inseguridad jurídica y ha llevado a algunas empresas a ser sancionadas.
En 2007, el Tribunal Supremo dictaminó que el uso de la huella dactilar para el control horario no era una medida excesiva y que no estaba limitado por norma alguna. En 2012, el Real Decreto Legislativo 2/2015 confirmó esta interpretación, al permitir a los empresarios adoptar las medidas que estimen más oportunas de vigilancia y control para verificar el cumplimiento por los trabajadores de sus obligaciones y deberes laborales.
En 2016, el Reglamento General de Protección de Datos (RGPD) incluyó los sistemas de identificación por huella dactilar y datos biométricos como “categoría especial”, diferenciando los usos de “identificación” y “autenticación”. El RGPD dice que los datos biométricos únicamente tendrán la consideración de categoría especial en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).
En este contexto, el sistema de registro de jornada por huella dactilar vendría a verificar la identidad de un empleado previamente registrado está presente, con lo cual no incurre en los supuestos de identificación sino en los de autenticación, quedando fuera de “categoría especial”. Por lo tanto, en este supuesto, el registro por huella dactilar todavía se ajusta a la doctrina del Tribunal Supremo y mantiene su legalidad.
Sin embargo, en abril de 2023, el Comité Europeo de Protección de Datos confirmó unas directrices que tiraban por tierra las instrucciones del Tribunal Supremo y de la Agencia Española de Protección de Datos. En estas directrices, se unifica el criterio de Autenticación y e Identificación, metiendo a ambos en “categoría especial” para el tratamiento de datos.
Dado ese cambio de criterio entre Autenticación e Identificación, la Agencia Española de Protección de Datos (AEPD) se ha visto forzada a cambiar sus directivas y ha publicado una Guía sobre tratamientos de control de presencia mediante sistemas biométricos.
La Guía de tratamiento de control de presencia mediante sistemas biométricos de la AEPD.
La Agencia Española de Protección de Datos (AEPD) ha publicado una guía que aclara las condiciones para el uso de sistemas biométricos, tanto con fines laborales como no laborales.
La guía establece que los sistemas biométricos se consideran un tratamiento de datos de alto riesgo, tanto para identificación como para autenticación, ya que pueden implicar la recogida de categorías especiales de datos, como los datos biométricos. Por ello, para su uso legítimo es necesario cumplir con una serie de requisitos.
Requisitos de los dispositivos de huella en el control de jornada.
En el caso de los sistemas biométricos utilizados para el control de presencia y acceso, la AEPD establece los siguientes requisitos:
- Legitimación: El tratamiento debe estar legitimado por una norma con rango de ley.
- Necesidad: El tratamiento debe ser necesario para la consecución de la finalidad legítima perseguida.
- Minimización de datos: Los datos biométricos recogidos deben ser los estrictamente necesarios para la finalidad perseguida.
- Seguridad: Los datos biométricos deben ser tratados de forma segura, adoptando las medidas técnicas y organizativas adecuadas para protegerlos de accesos no autorizados, alteraciones, pérdidas o destrucción.
- Transparencia: Los interesados deben ser informados de forma clara y concisa sobre el tratamiento de sus datos biométricos.
La guía también aclara que el consentimiento del interesado no puede ser la base jurídica para el tratamiento de datos biométricos para el control de presencia y acceso, ya que existe un desequilibrio entre el interés del responsable del tratamiento y los derechos del interesado.
La publicación de esta guía es un paso importante para garantizar la protección de los datos personales en el uso de sistemas biométricos en el control de jornada.
Además, es un aspecto que deberían contemplar los distintos programas de control horario.
Algunos puntos clave de la guía de la AEPD sobre el uso de los datos biométricos
Los sistemas biométricos se consideran un tratamiento de datos de alto riesgo.
Para su uso legítimo es necesario cumplir con una serie de requisitos, como la existencia de una norma con rango de ley que lo autorice, la necesidad del tratamiento, la minimización de datos, la seguridad y la transparencia.
El consentimiento del interesado no puede ser la base jurídica para el tratamiento de datos biométricos para el control de presencia y acceso.
¿Qué significa esto para las empresas?
Las empresas que utilicen sistemas biométricos para el control de presencia y acceso deben asegurarse de cumplir con los requisitos establecidos en la guía de la AEPD. En particular, deben contar con una norma con rango de ley que autorice el uso de esta tecnología, y adoptar las medidas técnicas y organizativas adecuadas para proteger los datos biométricos de los interesados.
El incumplimiento de estos requisitos puede conllevar sanciones administrativas por parte de la AEPD.
Los requisitos mínimos que debe contar un sistema de control de jornada biométrico
o Informar a los trabajadores, o personas si no se está en un entorno laboral, sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
o Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
o Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
o Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
o Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
o Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento. o Aplicar la minimización de los datos biométricos recogidos, con una evaluación objetiva de que no ha posibilidad de revelar categorías especiales de datos adicionales.
o En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos en el sentido dispuesto en el art. 91 de la LOPDGDD.
Alternativas a los sistemas de huella en el control de jornada
Ante esta situación, las empresas que necesitan registrar la jornada laboral de sus trabajadores deben buscar alternativas a los sistemas de control por huella. Una de las opciones más viables es el control de presencia a través de una aplicación móvil, como ejornada.
El control de presencia a través de una aplicación móvil es una solución sencilla y eficaz que cumple con la normativa de protección de datos. Para utilizar este sistema, los trabajadores solamente deben descargar ejornada en su smartphone y registrarse con sus datos personales. A la hora de fichar, el trabajador solo tiene que abrir la aplicación y pulsar un botón. La aplicación registra la hora y la fecha del fichaje, así como la ubicación del trabajador.
Además de ser respetuoso con la normativa de protección de datos, el control de presencia a través de una aplicación móvil ofrece una serie de ventajas adicionales, como:
- Flexibilidad: Los trabajadores pueden fichar desde cualquier lugar, siempre que tengan su smartphone a mano.
- Precisión: La aplicación registra la hora y la fecha exactas del fichaje, así como la ubicación del trabajador.
- Seguridad: Los datos de los trabajadores están protegidos por la aplicación, que utiliza los últimos protocolos de seguridad.
En definitiva, el control de presencia a través de ejornada es una alternativa viable al control de jornada por huella dactilar, más sencilla y económica. Se trata de una solución sencilla, eficaz y respetuosa con la normativa de protección de datos.
Escribir un comentario