Desde el punto de vista técnico, el desconocimiento sobre sistemas de control y fichaje mediante huella dactilar es profunda.
La perspectiva que nos preocupa y trae a colación estas reflexiones, es la de las relaciones laborales en el ámbito de las empresas, la idoneidad de los sistemas de control de presencia y la posible vulneración de la legislación sobre protección de datos.
Reflexionamos sobre control horario mediante huella dactilar (u otro medio alternativo con las características que se dirán a continuación) lo cual conlleva, per se, el tratamiento de datos personales entendiendo por tal “toda información sobre una persona física identificada o identificable”, según define el artículo 4.1 del Reglamento 2016/679 del Parlamento y del Consejo de 27 de abril, General de Protección de Datos (RGPD).
Se trata de datos biométricos, entendiendo por tales “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” (ex art. 4.14 RGPD). Por tanto, los datos biométricos entran dentro del régimen específico para las categorías especiales regulados en el artículo 9 del RGPD, de carácter restrictivo según el artículo 51 de la RGPD, siendo algunas características que se convierten en este tipo de datos, aquellas que se procesan tecnológicamente para poder identificar a una persona de forma única, tales como la huella dactilar, la forma de la cara, el iris ocular o la propia voz del trabajador en cuestión.
Los datos personales de los trabajadores, dentro de una relación jurídica laboral, tiene como finalidad el control del cumplimiento de la normativa laboral que otorga el artículo 20.3 del Estatuto de los Trabajadores que prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para el cumplimiento de las obligaciones laborales de sus trabajadores, si bien no menciona autorización para la utilización de categorías especiales de datos, en concreto de datos biométricos, que sí están expresamente tratados en los artículos 87, 89 y 90 de la LOPD.
Ello no ampara el uso de la huella dactilar y sí la utilización de sistemas de video vigilancia o utilización de sistemas de geolocalización, pero no contiene ninguna referencia a la utilización de datos biométricos en sistemas de control en el ámbito laboral, subrayando la AEPD la existencia de alternativas menos intrusivas y más legales que las anteriores, habida cuenta de que los datos biométricos, los cuáles son muy sensibles y únicos, requieren un de tratamiento proporcional.
Sin embargo, el Tribunal Supremo en Sentencia de 2 de julio de 2007 sobre la finalidad perseguida por este sistema, se pronunció en el sentido de que, “… es plenamente legitima, el control del cumplimiento del horario de trabajo al que viene obligados los trabajadores públicos. Y en tanto, esa obligación es inherente a la relación que uno a estos datos con la Administración Autonómica, no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la Ley Orgánica 15/1.999, lo excluye en estos casos…”. Concluye, por tanto, que la toma de una imagen de la mano no incumple las exigencias del artículo 4.1, por el contrario, puede considerarse adecuada, pertinente y no excesiva.
Ahora bien, y expuesto de manera sucinta, este pronunciamiento y otros dictados se ha ido matizando con la evolución de la normativa desarrollada de protección de datos y se determina que es ineludible que el tratamiento sea necesario y proporcional, para el cumplimiento de obligaciones o el ejercicio de derechos específico del empleador o de la persona interesada en el ámbito laboral y se autorice por el derecho de la Unión Europea o un convenio colectivo que establezca garantías adecuada del respeto de los derechos fundamentales y los intereses de las personas afectadas.
También sería necesario justificar las circunstancias que justificaría este tipo de control y los motivos que impedirían la utilización de otros sistemas que no impliquen el tratamiento de categorías especiales (datos biométricos) y sean menos intrusivos en relación con el derecho a la protección de datos.
Ya advirtió la AEPD, en su Resolución de junio de 2024 en la que se solicitaba por parte del reclamante que se analizase la legalidad de la imposición del fichaje mediante el reconocimiento facial que se establece como método de control de la jornada laboral para los empleados municipales del Ayuntamiento de Telde (Gran Canaria), que “(…) si se pretende tratar datos biométricos para el control de la jornada laboral se tendrá que tener en cuenta: (i) que el dato biométrico es un dato personal de categoría especial, cuyo tratamiento está generalmente prohibido por el artículo 9.1 del RGPD, salvo que concurran ciertos supuestos excepcionales previsto en el artículo 0.2 del RGPD, cuya existencia deberá acreditarse para poder iniciar este tipo de tratamiento; (ii) y que el tratamiento de datos biométricos está considerado como “de alto riesgo” según el artículo 35 del RGPD, por lo que será necesario elaborar y superar una Evaluación de Impacto de Protección de Datos (en adelante, EIPD) que incluya todos estos elementos”.
Incluso, la anterior resolución va más allá, aludiendo al sistema de fichaje mediante APP en el móvil con geolocalización implantado por dicha Administración Pública, estableciendo que dicho sistema “requiere tratar datos de “geolocalización detallando las coordenadas de la ubicación del usuario, son también datos de carácter personal, cuyo tratamiento es un asunto especialmente sensible por afectar a la libertad de circulación de las personas físicas, entrañando un alto riesgo para los derechos y libertades de los empleados que utiliza este método de fichaje de jornada, por lo que el RGPD requiere, también, la previa realización y superación de una EIPD, que se supervise de forma continua de acuerdo con lo exigido por el artículo 35 del RGPD”.
Tal es así que, recientemente, el Colegio Notarial de Aragón fue sancionado con 20.000€ (cantidad reducida a 12.000€ tras acogerse a dos reducciones propuestas por la AEPD) por utilizar el sistema de huella dactilar a la hora de realizar el control de jornada sin que sus empleados hubieran mostrado consentimiento explícito ni valorasen otros medios menos intrusivos.
En suma, no se puede concluir de manera indubitada la proporcionalidad de la utilización de la huella dactilar para establecer un sistema de control horario, por lo que sería necesario una evaluación del impacto relativa a la protección de datos de carácter personal para evaluar, tanto la legitimidad del tratamiento y su proporcionalidad, como la determinación de los riesgos existentes y las medidas para mitigarlos (ex artículo 35 del RGPD), incumplimientos que pueden venir aparejados, con casi total seguridad, de la imposición de sanciones considerables.
Sevilla, 25 de abril de 2025.