El criterio de la Agencia Española de Protección de Datos (AEPD) sobre el uso de las herramientas de control, con huella dactilar y reconocimiento facial, ha sido actualizado. De hecho, ha publicado en Noviembre de 2023 una guía, fijando en sus conclusiones que hacer uso de las técnicas “biométricas” de reconocimiento facial, huella dactilar por ejemplo, como métodos de control es un tratamiento de “alto riesgo”, siendo una medida muy invasiva respecto a los derechos y libertades de las personas trabajadoras de forma que, lo “idóneo” sería recurrir a métodos menos invasivos.
La Directriz emitida por el Comité Europeo de Protección de Datos (26/04/2023) entiende que datos de las personas como la huella dactilar (o los necesarios para el reconocimiento facial) son datos especialmente sensibles y prohíbe el uso de la huella dactilar como método de registro de jornada laboral en empresas. La Directriz europea supuso el nuevo criterio de la AEPD n.º 98/2022 rectificando la interpretación inicial.
Según la AEPD para implantar estos métodos de control de presencia habría que cumplir los principios de “minimización” y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales. Además, considera que ambos datos biométricos, la huella dactilar y la conformación facial, son datos personales de especial categoría y alto riesgo puesto que pueden utilizarse para obtener información adicional sobre las personas aun sin contar con la colaboración de estas.
- A partir de ahora no podrá utilizarse por ninguna empresa ni siquiera en caso de que el trabajador preste su consentimiento.
- La implantación de estos sistemas de control horario a través de la identificación biométrica, aún con el consentimiento de los trabajadores, someten a la empresa al riesgo de inspección e importantes sanciones por parte de la Agencia Española de Protección de Datos.
Como recuerda la «Guía tratamientos de control de presencia mediante sistemas biométricos»:
«(…)debe tenerse en cuenta el art. 5.1.c y el considerando 39 del RGPD que indica que los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Nuevamente, se señala que debe realizarse un análisis previo sobre la necesidad de dicho tratamiento para la consecución de la finalidad pretendida por el responsable del tratamiento, en el sentido de que no haya otro medio igual de eficaz y menos intrusivo, antes de la implantación de cualquier sistema; y todo ello debe de ser evaluado desde el Principio de protección de datos desde el diseño, focalizando el análisis en los derechos y libertades de las personas cuyos datos se van a tratar, dentro de ese primer paso. Para ello debería realizarse el correspondiente análisis de riesgos y superarse la evaluación de impacto y tener en cuenta el triple juicio de idoneidad, necesidad y proporcionalidad».