Anàlisi de la guia de l'agència espanyola de protecció de dades sobre el control de presència mitjançant sistemes biomètrics - Novembre 2023

L'Agència Espanyola de Protecció de Dades (d'ara endavant "AEPD") ha publicat una guia en la que analitza els tractaments de control de presència mitjançant sistemes biomètrics i donant un punt de vista molt més esclaridor de si aquests tractaments són o no pertinents en consonància amb el que es disposa al Reglament (UE) 2016/679 del Parlament Europeu i del Consell relatiu a les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d'aquestes dades; a la Llei Orgànica de Protecció de Dades i Garanties dels Drets Digitals (LOPD); i també entra a l'anàlisi el que es disposa al Reial Decret-Llei 8/2019 de mesures urgents de protecció social i de lluita contra la precarietat laboral en la jornada de treball. 

Aquest tractament sempre ha ocasionat molts dubtes i opinions contraposades, de les quals es pot destacar un Dictamen per part de l'Autoritat Catalana de Protecció de Dades que cataloga l'ús de sistemes biomètrics per al control de presència com a tractament no adequat a la legislació i que, per tant, no hauria de dur-se a terme. En línies generals és el que ve a definir-se per part també de l'autoritat espanyola i que s'exposaran en el següent informe.

El control de presència és un tractament que pot servir per a la consecució de diferents finalitats, i està sotmès al compliment efectiu de la normativa de protecció de dades sense perjudici de les especificacions previstes en la norma per a cada un dels supòsits. 

Per una banda, tenim el registre de la jornada, tractament de control de presència que es trobaria emmarcat dins d'una relació laboral, amb la finalitat de controlar el desenvolupament d'aquesta. A diferència del control d'accés que és un tractament de control de presència que es trobaria vinculat a la finalitat de supervisar l'entrada i/o sortida d'un recinte (aquest pot encabir-se o no dins de l'àmbit laboral). 

El registre de jornada el trobem regulat a l'article 34 del Reial Decret-Legislatiu 2/2015 mitjançant el qual s'aprova text refós de l'Estatut dels Treballadors (d'ara endavant "ET") i el control d'accés amb finalitats laborals el trobem regulat a l'article 20.3 de la mateixa legislació.

Un dels principis bàsics del RGPD és el principi de minimització establert a l'article 5.1.c que estableix que les dades seran adequades, pertinents i limitades a el fet necessari en relació amb les finalitats per les quals són tractades. 

En línia amb aquest principi de minimització de dades tenim el que disposa el Considerant 39 on s'estableix molt clarament que aquelles dades que no són necessàries per complir amb la finalitat del tractament no han de ser tractades. 

D'aquest punt es deriva el primer factor a tenir en compte, i és que les dades han de limitar-se a les estrictament necessàries per aconseguir les finalitats del tractament, i en el cas que ens ocupa la finalitat que comporta un tractament de control de presència no és la de tractar dades biomètriques. 

Per tant, en un tractament de control de presència han de tractar-se única i exclusivament les dades necessàries per a la consecució de les dites finalitats i no més d'aquelles estrictament necessàries. Per tant, s'ha de justificar la necessitat d'un tractament addicional de dades quan les mateixes finalitats s'han estat assolint i es poden aconseguir amb un altre tipus d'implementació del tractament de registre de jornada equivalent i menys intrusiu

L'ús de sistemes biomètrics per a implementar el tractament de control de presència laboral implica un tractament addicional de dades, en aquest cas biomètriques, que ha d'avaluar-se per a garantir la seva conformitat amb el RGPD. Es destaca que el processament biomètric no és un tractament amb una finalitat en si mateix, sinó un mitjà per a dur a terme operacions dins del tractament. A més, es posa l'accent en la importància de realitzar una avaluació objectiva per a determinar si s'estan recollint dades excessives per a la finalitat del tractament. 

Es destaca que el tractament de dades biomètriques per al control de presència ha de complir amb la normativa de protecció de dades, ja que aquestes dades són considerades categories especials de dades personals. Es destaca que el RGPD estableix excepcions a la prohibició de tractar aquestes dades, però només en circumstàncies específiques i amb autorització legal. 

A més, ha de recalcar-se que l'ús de les tecnologies biomètriques per la identificació i l'autenticació en el control de la presència, ja que suposa que estiguem enfront un tractament d'alt risc que inclou categories especials de dades, de manera que com ja s'ha assenyalat en el punt segon, per tal que el tractament pugui dur-se a terme hauran de complir-se els principis de minimització de dades i protecció de dades des del disseny i per defecte, utilitzant mesures alternatives equivalents i menys intrusives.

Aquesta excepció suposa com correctament apunta el Dictamen 2/2022 de l'APDCAT que l'afectació per al dret a la protecció de dades que es deriva de la norma ha de ser previsible. Per tant, no pot considerar-se previsible la norma si no concreta la possibilitat de fer ús de dades biomètriques amb la finalitat de realitzar el control horari. 

A partir d'aquí s'entra a analitzar els requisits que exigeix l'article, sense el compliment dels quals no es podrà donar l'aixecament de la prohibició.

¹ El tractament és necessari pel compliment de les obligacions i l’exercici de drets específics del responsable del tractament o de l’interessat en l’àmbit del dret laboral i de la seguretat i protecció social, en la mesura que així ho autoritzi el dret de la Unió dels Estats membres o un conveni col·lectiu d’acord al dret dels Estats membres que estableixi garanties adequades del respecte als drets fonamentals i interessos de l’interessat.

Relacionat amb el tractament en l'àmbit del dret laboral i de la seguretat i protecció social, no només exigeix que existeixi una habilitació legal -o conveni col·lectiu (norma amb rang de llei)- sinó que imposa en primer terme el requisit que el tractament sigui necessari. 

Per tal de fer èmfasi en la no necessitat d'aquest tractament l'AEPD recorre l'any 1890 on ja hi havia controls de jornada i aquests no necessitaven l'ús de dades biomètriques. De manera que el responsable del tractament ha de justificar les circumstàncies per les que ja no és possible utilitzar els sistemes de registre de presència que s'estaven utilitzant a l'entitat fins al moment de la implementació del mecanisme biomètric. A més ha de justificar que l'ús d'altres sistemes existents com targetes, certificats, claus o sistemes contact-less entre d'altres que eviten el tractament de categories especials de dades no són adequats.

Del Dictamen 3/2012 del Grup de l'Article 29 es deriva la necessitat de què l'avaluació de la necessitat hagi de superar-se mitjançant evidències objectives, amb una visió amplia del context i evitant guiar-se únicament per tendències tecnològiques. 

En conclusió, s'ha de recórrer de nou a l'article 5.1.c del RGPD i al Considerant 39 que indica que les dades personals únicament han de tractar-se si la finalitat del tractament no pogués aconseguir-se raonablement per altres mitjans. Ha de realitzar-se un anàlisi previ per tal de determinar la necessitat d'aquest tractament per la consecució de la finalitat pretesa pel responsable del tractament, en el sentit que no hi hagi un altre mitjà igual d'eficaç i menys intrusiu.

Perquè un tractament pugui considerar-se idoni, ha de permetre complir amb la finalitat última del tractament amb uns nivells adequats de qualitat, tenint en compte que no hi ha tractament que estigui fora d'errors ni de possibilitat de frau. De manera que és necessari que estiguin ben definides les mètriques no únicament sobre el rendiment dels sistemes biomètrics sinó també sobre els objectius de rendiment necessaris pel registre de la jornada. 

De manera que s'haurà de dur a terme un anàlisi objectiu sobre l'adequació de les diferents opcions tècniques per al registre de presencia inclosa la biometria, on s'haurà de determinar si pot o no existir una falta d'exactitud de les dades obtingudes amb relació a la operació biomètrica al no adequar-se al tipus humà mig o estàndard segons el criteri del responsable.

En el tractament de registre de la jornada, l'empleat té l'obligació de participar en un tractament on la finalitat és la del propi registre i no la de tractar dades biomètriques. 

En aquest punt, l'autoritat fa una argumentació envers l'opció d'utilitzar el consentiment com a base legitimadora del tractament de dades biomètriques i descarta que aquest pugui ser legitimador per què no es respecta la naturalesa de la definició inherent al consentiment. El RGPD estableix que el consentiment ha de ser lliure i aquest mateix Reglament en el seu considerant 43 estableix que per garantir que el consentiment s'hagi donat lliurement, aquest no ha de constituir un fonament jurídic vàlid pel tractament de dades de caràcter personal en un cas concret on hi ha un desequilibri clar entre l'interessat i el responsable del tractament. En aquest clar la relació empresari-empleat causa una clara situació de desequilibri (Directrius 5/2020 del CEPD) descartant doncs el consentiment com a possible base de legitimació. 

L'única opció que donen per tal que el consentiment es pugui considerar lliure és que l'interessat gaudeixi d'una alternativa a lliure elecció per complir amb l'obligació de registrar la jornada. Pel que quan existeixin altres opcions realment equivalents i disponibles per tots els treballadors es podria estudiar que el consentiment fos vàlid d'acord amb el 4.11 del RGPD; tot i que la implementació d'una altra alternativa denotaria la no necessitat del tractament de dades biomètriques pel que no es respectaria el 5.1.c del RGPD.

 L'AEPD acaba afirmant que un tractament de registre de jornada implementat amb tècniques biomètriques tot utilitzant consentiment no aixeca la prohibició de l'article 9.2.b) i, per tant, no se superaria l'avaluació de necessitat, requisit pels tractaments d'alt risc.

L’AEPD llista les conclusions que de l’anàlisi poden derivar-se i a continuació s’exposen de forma més resumida:

• Les tecnologies biomètriques d’identificació i autenticació de control de presència es consideren un tractament d’alt risc en considerar-se dades de categoria especial.

   

• Per la implementació del tractament de control de presència s’han de complir els principis de minimització i de protecció de dades des del disseny i per defecte, utilitzant mesures alternatives equivalents menys intrusives.
   
• És necessari que es doni una circumstància per aixecar la prohibició del article 9.2.c) i com s’ha pogut apreciar en cap cas complirà el judici de necessitat, ni el de proporcionalitat.
   
• En qualsevol cas serà obligatòria la superació d’una Avaluació d’Impacte de Protecció de Dades acreditant la superació del triple judici de proporcionalitat, necessitat i idoneïtat.

D'aquí pot extreure's que la utilització de tecnologies biomètriques pel control de presència de la jornada laboral és contrari al RGPD sempre que no compleixi amb els requisits establerts a la llei i tingui aplicades les mesures i mecanismes organitzatius i tècnics mínims exposats per l'AEPD, i s'hauran d'implementar mesures menys intrusives com per exemple la targeta, o bé el marcatge via App, entre altres alternatives.