Datos biométricos (huella digital y reconocimiento facial) y el registro de la jornada laboral

La utilización de sistemas biométricos para el control de presencia en las empresas ha sido siempre un tema muy sensible en términos de protección de datos y privacidad. Y este uso se hizo más común con la aparición de la Ley que regulaba el registro obligatorio de la jornada laboral (Real Decreto-ley 8/2019, de 8 de marzo).

La digitalización y la pandemia de la COVID-19 hicieron el resto: muchas empresas optaron por instalar sistemas de lectura de huella digital o reconocimiento facial para el registro horario.

El pasado 23 de noviembre, la AEPD ha publicado una nueva guía, a través de la cual, ha emitido las pautas para ayudar a las empresas a utilizar estos sistemas de manera compatible con la legislación de protección de datos, levantando parcialmente la prohibición de su uso, siempre y cuando se cumplan ciertos requisitos y salvaguardas.

Algunas de las preguntas más frecuentes que nos están formulando nuestros clientes tras la publicación de esta guía son las siguientes:

• «¿Puedo seguir utilizando estos sistemas de reconocimiento facial o lector de huella digital en mi empresa?»
• «Hemos hecho un desembolso muy grande para evitar que se tocara nada a la hora de fichar durante la Pandemia… ¿Ahora es legal o ilegal el uso de reconocimiento facial o el registro con la huella digital?»

Lamentablemente («a priori») para muchas de estas empresas, ambas respuestas han de ser negativas, ya que la única manera de levantar esa prohibición es cumpliendo lo que nos dice el artículo 9.2 del Reglamento General Europeo de Protección de Datos.

Esto no quiere decir que las empresas no puedan utilizar los datos biométricos de los empleados para estos fines, pero sí que es necesario que, para justificar ese tratamiento específico en su actividad, el uso de los sistemas informáticos o electrónicos que recojan dichos datos, categorizados por la vigente normativa como “datos sensibles”, esté amparada por una norma con rango de Ley (por ejemplo, en el entorno de una actividad relativa a la salud o un acceso restringido por temas de alta seguridad…) y se cumplan, además, algunos requisitos establecidos, de manera vinculante, en la guía facilitada por la AEPD:

Las conclusiones de la guía de la AEPD podrían incluir, entre otras medidas:

• Consentimiento y transparencia: Las empresas deben obtener el consentimiento explícito de los empleados para recopilar y procesar sus datos biométricos. La información sobre el propósito del tratamiento, la naturaleza de los datos recopilados, la forma en que se utilizarán y quién tendrá acceso a ellos debe ser clara y transparente.
• Necesidad y proporcionalidad: Las empresas deben demostrar que el uso de sistemas biométricos es necesario y proporcional para el propósito específico que persiguen. Debe evaluarse si existen alternativas menos “invasivas” para lograr el mismo objetivo.
• Seguridad y protección de datos: Se deben implementar medidas sólidas de seguridad para proteger los datos biométricos recopilados. Esto incluye el cifrado, la limitación del acceso a personal autorizado y la adopción de medidas para prevenir el acceso no autorizado o la divulgación de esta información.
• Periodo de retención de datos: Los datos biométricos deben conservarse únicamente durante el tiempo necesario para cumplir con el propósito específico para el que se recopilaron y deben ser eliminados una vez que ya no sean necesarios.
• Evaluación de impacto en la protección de datos: Las empresas deben realizar evaluaciones de impacto en la protección de datos para evaluar los posibles riesgos para la privacidad de los empleados asociados con el uso de sistemas biométricos y cómo mitigarlos.
• Designación de un Delegado de Protección de Datos (DPD): En algunos casos, puede ser obligatorio designar un DPD para supervisar el cumplimiento de la normativa de protección de datos en relación con el tratamiento de datos biométricos.

Es esencial que las empresas revisen detenidamente la guía de la AEPD y se asesoren con expertos legales en protección de datos para garantizar el cumplimiento de todos los requisitos y para adaptar sus procesos internos y sistemas a las directrices establecidas por la legislación vigente en materia de protección de datos en España, como lo estipula la Agencia Española de Protección de Datos.