La era digital ha llevado a las organizaciones a replantearse los mecanismos de registro de jornada y control horario al amparo de las facultades de dirección y control del empresario previstas en los artículos 20.3 y 34.9 del Estatuto de los Trabajadores.
Dentro de esta revolución, los datos biométricos, definidos en el artículo 4.14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”), han emergido como una solución efectiva. Sería el caso, entre otros, de las huellas dactilares o el reconocimiento facial.
¿Cómo se interpreta en España el registro de la jornada y el control horario mediante datos biométricos?
Sin embargo, la clasificación y tratamiento de estos datos ha llevado a interpretaciones distintas por parte de la Agencia Española de Protección de Datos (“AEPD”) y la Autoritat Catalana de Protecció de Dades (“APDCAT”). En este sentido, ambas instituciones han tenido la oportunidad de pronunciarse al respecto en distintos procedimientos. A efectos ilustrativos, citamos los siguientes: la resolución PS/00050/2021, el dictamen CNS 9/2009 y el dictamen CNS 2/2022, entre otros.
Antes de profundizar en las divergencias interpretativas entre la AEPD y la APDCAT, es necesario distinguir los conceptos de “identificación biométrica” y “autenticación biométrica” señalados por la AEPD en su Informe 36/2020.
Mientras que la identificación biométrica se refiere al proceso de identificación de un individuo mediante la comparación de sus datos biométricos con una serie de plantillas almacenadas en una base de datos (búsqueda de correspondencia uno-a-varios), la autenticación biométrica se refiere al proceso de verificación de un individuo mediante la comparación de sus datos biométricos con una única plantilla biométrica almacenada en un dispositivo (búsqueda de correspondencia uno-a-uno).
En otras palabras, la identificación biométrica busca reconocer a un individuo particular entre un grupo, y la autenticación biométrica busca probar que es cierta la identidad reclamada por un individuo. Vemos, por lo tanto, que las diferencias entre ambos procedimientos radican tanto en el propósito como en la naturaleza de la comparación.
Hecha esta distinción, la AEPD sostiene que los datos biométricos únicamente tendrán la consideración de categoría especial cuando tengan la finalidad de identificar (uno a varios) y, no cuando sirvan para autenticar (uno a uno). En cambio, la APDCAT considera que, independientemente de la finalidad que tenga el uso de datos biométricos (identificar o autenticar) estos serán siempre datos de categoría especial.
Datos biométricos para cómputo horario: jurisprudencia y bases jurídicas
El hecho de que los datos sean considerados de categoría especial -o no- es determinante dado que, siguiendo el principio de licitud (art. 6.1 RGPD), para poder realizar tratamientos de datos personales, debe concurrir alguna de las bases jurídicas previstas en el artículo 6.1 del RGPD.
Pero es que, además, cuando los datos que se vayan a tratar sean de carácter especial (previstos en el artículo 9.1 RGPD), entre los que se encuentran los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, para poder realizar el tratamiento deberá concurrir alguna de las excepciones a la prohibición general de tratar datos especiales previstas en el artículo 9.2 del RGPD.
Esto es, para el tratamiento de datos de categoría especial se necesitan ambas: tanto una base legitimadora del artículo 6.1 RGPD como una de las excepciones del artículo 9.2 RGPD.
Llegados a este punto, es preciso señalar cuál sería la base legitimadora más adecuada de las previstas en el artículo 9.2 del RGPD para el tratamiento de datos biométricos.
En este sentido, la AEPD se ha pronunciado en diversas ocasiones señalando que la base legitimadora idónea sería la del artículo 9.2 b) del RGPD pues “en virtud de este precepto, el tratamiento sería lícito y no requeriría el consentimiento, cuando el tratamiento de datos se realice para el cumplimiento de relaciones contractuales de carácter laboral” (Resolución AEPD PS/00127/2020) , siempre y cuando se prevea expresamente la utilización de datos biométricos para esta finalidad en una norma con rango de Ley o en un Convenio Colectivo.
El mismo criterio mantiene la APDCAT, que rechaza el consentimiento como base jurídica válida para el tratamiento al señalar que, en el ámbito laboral, no se puede considerar que pueda haber consentimiento realmente, a excepción del caso en que el interesado pudiera disponer de una alternativa al uso de sus datos biométricos para el registro de jornada y control horario. (Resolución APDCAT CNS 2/2022).
Como vemos, la naturaleza sensible de los datos biométricos ha suscitado debate en cuanto a su tratamiento y clasificación que ha llevado al pronunciamiento de la AEPD y la APDCAT a divergir significativamente en la categorización de los datos, dependiendo de su finalidad: identificación o autenticación.
Esta distinción no es meramente semántica; determina el nivel de protección legal y las bases jurídicas aplicables para su tratamiento, aunque ambas instituciones coinciden en que, en el contexto laboral, el consentimiento no es la base legitimadora más adecuada para el tratamiento de estos datos debido al desequilibrio de poder que se produce entre las empresas y sus trabajadores.
Autor: Sofía Pérez | Inés Millet
