Registro de jornada laboral con huella dactilar: ¿es necesario realizar evaluación de impacto (EIPD)?

Registro de jornada laboral con huella dactilar: ¿es necesario realizar evaluación de impacto (EIPD)?
octubre 13, 2021| Protección de datos

Las empresas están obligadas a llevar un registro de jornada donde se incluya el horario concreto de inicio y finalización de la jornada de cada trabajador. En todos los casos deberá tener en cuenta la normativa de Protección de Datos, pero si decide realizar el control y registro mediante identificación biométrica deberá además, realizar Evaluación de impacto.

De conformidad con lo dispuesto en el art. 34.9 del ET, en su redacción dada por el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, todas las empresas deben contar con un registro de jornada. Los mismos deben conservarse durante cuatro años. Esos registros suponen un tratamiento de datos, porque permiten identificar a una persona en concreto y deben estar incluidos en el Registro de las Actividades del Tratamiento (Art.30 RGPD). La base jurídica para dicho tratamiento está en la obligación legal de incluir el horario concreto de inicio y finalización de la jornada de cada persona trabajadora.

Desde la perspectiva del derecho a la protección de datos debe tenerse en cuenta varias cuestiones. Por mencionar algunas…

  • La empresa, como responsable del tratamiento tiene el deber de informar.
  • Los datos del registro no pueden ser utilizados con finalidades distintas al control de la jornada de trabajo (principio de limitación de la finalidad) Ejemplo; no podrían utilizarse dichos datos para comprobar la ubicación de la persona.
  • Implementar medidas de seguridad acordes al sistema utilizado y del tipo de datos que se traten.
  • Se debe respetar la confidencialidad y evitar el acceso no autorizado.
  • En atención al número de trabajadores y al formato empleado podría ser necesario realizar una evaluación de impacto (art. 35.3 RGPD)

Si bien el derecho a la protección de datos no limita ni define que formato deberá implementar para realizar el registro horario, se recomendó que se adopte el sistema menos invasivo posible.

En este artículo analizaremos, el registro de jornada con datos biométricos, en particular mediante huella dactilar.  La AEPD determina que la huella dactilar debe ser calificada como dato biométrico.

El artículo 4.14 del RGPD define «datos biométricos», como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Llegados a este punto, conviene recordar que no todo tratamiento de dato biométrico implica un tratamiento de datos especiales (art. 9.1. RGPD), y solo constituirán una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.

Con el fin de aclarar la consideración de los datos biométricos como categorías especiales de datos, cabe distinguir identificación biométrica de autenticación biométrica.

“Identificación biométrica” es el proceso de reconocer a un individuo particular entre un grupo, comparándose los datos del individuo a identificar con los datos de cada individuo en el grupo (uno-a-varios)

 “Autenticación biométrica” es el proceso de probar que es cierta la identidad reclamada por un individuo, comparándose los datos del individuo únicamente con los datos asociados a la identidad reclamada (uno-a-uno)

La AEPD determina que la huella dactilar debe ser calificada como dato biométrico, pero solo en los casos de identificación biométrica, la huella dactilar será considerada, además de dato biométrico, dato de categoría especial y en estos casos, será necesario llevar una evaluación de impacto.

En los casos que la huella dactilar sea realizada mediante autenticación biométrica, deberá analizarse la necesidad de la evaluación de impacto, teniendo en consideración otros factores como podría ser, el número de trabajadores.

Asimismo, por fuera del registro de jornada, el artículo 20 del Texto refundido del Estatuto de los trabajadores (TE), aprobado por el Real decreto legislativo 2/2015, de 23 de octubre, prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores. Para dicha finalidad y en todos los casos en que se traten datos biométricos de trabajadores, la AEPD recomienda optar por sistemas de autenticación biométricos, siendo aconsejable que los sistemas biométricos se basen en la lectura de los datos biométricos almacenados como plantillas cifradas en soportes que puedan ser conservados exclusivamente por las personas trabajadoras.

Adicionalmente, el uso de nuevas tecnologías biométricas deberá ser debidamente evaluado por parte del responsable del tratamiento, en la medida que estas pueden resultar altamente intrusivas para los derechos y libertades de los interesados.

Finalmente, no puede perderse de vista que para llevar a cabo el control de acceso y de jornada laboral, no siempre será necesario tratar datos biométricos. Al respecto la AEPD considera que el sistema biométrico tampoco parece que “sea o deba ser el único sistema que puede ser usado”. Así deberá valorarse si puede recurrirse a otros sistemas basados, por ejemplo, en el uso de tarjetas personales, la utilización de códigos personales, la visualización directa del punto de marcaje, entre otros que pueden constituir, por sí mismos o en combinación con alguno de los otros sistemas disponibles, medidas igualmente eficaces para llevar a cabo el control pretendido por el empresario.