Esta semana conversamos con Soraya San Segundo: Consultora Senior de Protección de Datos en Datages Consulting, sobre los límites legales del uso de datos biométricos para el registro laboral, debido a la actualización de la normativa de GDPR.
Bienvenida, Soraya. Para comenzar la entrevista, cuéntanos quién eres y qué te apasiona.
Soy consultora de protección de datos. En el ámbito laboral, uno de los campos en los que disfruto es de ayudar a las empresas a comprender y cumplir con las regulaciones de privacidad más allá de una obligación, sino desde la visión de garantizar la viabilidad de la empresa, asegurando que los empleados se sientan seguros y respetados en un mundo cada vez más digitalizado.
Pienso que el equilibrio entre la innovación tecnológica y el respeto a la privacidad de las personas es posible, y trabajar en este campo me permite contribuir a ese equilibrio.
Danos una breve introducción sobre los sistemas y datos biométricos y el registro de jornada laboral: ¿Cómo se ha estado utilizando hasta ahora?
Los sistemas de datos biométricos, como el reconocimiento facial o la huella dactilar, se han utilizado tradicionalmente para el control de acceso y la gestión del tiempo en el lugar de trabajo. Estos sistemas permiten un registro más preciso y seguro de la jornada laboral, ayudando a las empresas a cumplir con sus obligaciones legales y a gestionar de manera eficiente la asistencia de su personal.
¿Y qué es lo que ha cambiado a partir de la actualización de la normativa y por qué?
La actualización de la normativa, como el GDPR, ha introducido cambios significativos en la forma en que se pueden utilizar los datos biométricos.
Antes de la guía publicada por la AEPD el 23 de noviembre de 2023, se establecía que el consentimiento de los interesados podría validar el uso de datos biométricos. Eso incluía poder utilizar dicho método para el registro de jornada laboral. Sin embargo, la orientación emitida por la AEPD deja en claro que no hay respaldo legal para esta práctica.
Incluso si los empleados otorgan su consentimiento, esto no es suficiente para considerar el tratamiento de dichos datos como legal.
Estas restricciones se fundamentan en los principios de adecuación, necesidad y proporcionalidad. Es decir, se debe demostrar claramente que el uso de datos biométricos es absolutamente necesario y proporcionado para alcanzar el objetivo deseado, y que no existen alternativas menos invasivas. Esta aclaración es crucial, ya que resalta que el consentimiento por sí solo no es suficiente para validar el uso de datos biométricos, especialmente en un entorno laboral donde existe un desequilibrio entre el empleado y el empleador.
¿En qué casos se considera legítimo el uso de datos biométricos?
En primer lugar, uno de los requisitos básicos es realizar una Evaluación de Impacto antes de emplear estos datos. Este proceso examina detenidamente los posibles riesgos y beneficios asociados con el tratamiento de datos biométricos. Sin embargo, es importante destacar que esta evaluación por sí sola no garantiza la legitimidad del tratamiento.
Además, se debe considerar que el uso de datos biométricos debe ser el último recurso. Esto significa que la empresa debe demostrar claramente que el uso de estos datos es absolutamente necesario y proporcionado para alcanzar el propósito deseado. Es decir, no debe haber alternativas menos invasivas disponibles. Esta condición es fundamental para asegurar que el tratamiento de datos biométricos se realice de manera ética y respetuosa hacia la privacidad de los empleados.»
Incluso si los empleados otorgan su consentimiento, esto no es suficiente para considerar el tratamiento de dichos datos como legal. Estas restricciones se fundamentan en los principios de adecuación, necesidad y proporcionalidad. Es decir, se debe demostrar claramente que el uso de datos biométricos es absolutamente necesario y proporcionado para alcanzar el objetivo deseado, y que no existen alternativas menos invasivas.
Entonces, ¿de qué formas pueden fichar los trabajadores sin que las empresas incumplan la normativa?
- Tarjetas de identificación
- Códigos PIN
- Aplicaciones móviles
- Firmas electrónicas
- Registro manual
- Tarjetas de proximidad
- Sistemas de reconocimiento de voz
- Sistemas de reconocimiento facial sin almacenamiento de datos biométricos
Estas son solo algunas de las formas alternativas de fichaje laboral que no requieren el tratamiento de datos biométricos y que pueden ser implementadas por las empresas para cumplir con las regulaciones de protección de datos.
Finalmente, ¿qué sanciones podrían recibir las empresas en caso de incumplimiento de la normativa sobre datos biométricos?
Las empresas que incumplen la normativa sobre el tratamiento de datos biométricos pueden enfrentarse a diversas sanciones, que van desde apercibimientos y requerimientos de cese hasta multas pecuniarias significativas. Si bien en el pasado la Agencia Española de Protección de Datos (AEPD) no sancionaba económicamente el uso en sí de estos controles en el entorno laboral, como venimos comentando las circunstancias han cambiado.
Ahora, la AEPD podría imponer multas por no informar sobre estos sistemas, por no realizar la evaluación de impacto correspondiente, o por un uso desproporcionado de estos controles. Estas multas han oscilado entre los 5.000 y los 200.000 euros en el pasado. Sin embargo, el Reglamento General de Protección de Datos (RGPD) dispone que el incumplimiento de la normativa puede ser sancionado con hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, lo que sea mayor.
Es importante destacar que el pago de la multa no legitima el tratamiento de los datos biométricos. Además de las sanciones administrativas, las empresas también pueden enfrentarse a demandas de indemnización por parte de los trabajadores afectados, tanto en el ámbito laboral como en el civil.
Puedes conocer más en la guía sobre la utilización de datos biométricos para el control de presencia y acceso publicada por la Agencia Española de Protección de Datos (AEDP).
Este martes 23 de abril a las 11:00h (hora España) conversaremos con Soraya San Segundo sobre el uso de datos biométricos para el registro laboral y más. ¡No te lo pierdas!