El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

Adiós a fichar con la huella

Si han instalado en su empresa un sistema biométrico para controlar el acceso de los trabajadores, agárrense, porque vienen curvas: la Agencia Española de Protección de Datos (AEPD) acaba de publicar una guía que pone en entredicho la utilización de estas tecnologías, apartándose del criterio que mantenía hasta ahora. Justificar el uso de la huella dactilar o del reconocimiento facial para fichar se complica enormemente, y la viabilidad económica de las empresas dedicadas a fabricar o instalar estas soluciones pende de un hilo.

Pongámonos en antecedentes: el control de jornada a través de sistemas biométricos fue analizado por nuestro Tribunal Supremo en su sentencia de 2 de julio de 2007 (rec. 5017/2003), que sostuvo que no se trataba de una medida excesiva, dado que la ley permite a los empleadores supervisar el cumplimiento horario de los trabajadores y el recurso a esta tecnología no estaba limitado por norma alguna. De ahí que concluyese que su uso era legítimo, zanjando así toda discusión sobre este particular hasta la aprobación del Reglamento General de Protección de Datos (2016). La introducción, por esta norma, de los datos biométricos como “categoría especial”, cuando se utilizan para identificar de manera unívoca a una persona, parecía dificultar el uso de estas soluciones en el ámbito laboral; pero la AEPD abrió la puerta a su utilización mediante una hábil utilización del lenguaje, diferenciando entre “identificación” y “autenticación”:

“Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.

Aplicando la lógica anterior, los sistemas de control de acceso se limitarían a “verificar” los rasgos de un trabajador, ya identificado previamente; y por tanto, no nos encontraríamos ante un uso de datos “especiales”, y la doctrina del Tribunal Supremo seguiría siendo plenamente válida.

Esta interpretación parecía pacífica, pero llegado mayo de 2022, el Comité Europeo de Protección de Datos publicó unas directrices (aprobadas en abril de 2023) que daban al traste con esta teoría. Les dejo el párrafo (la traducción es mía):

“Si bien ambas funciones -autenticación e identificación- son distintas, las dos se refieren al tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente, un tratamiento de categorías especiales de datos personales”.

A raíz de estas directrices, la Agencia comenzó a recoger cable: ya en su informe jurídico 98/2022 advirtió de que, de confirmarse esta interpretación, se vería abocada a revisar su criterio, para adecuarlo al mantenido por el Comité… y la recientemente publicada guía no hace sino confirmar este anuncio.

En esencia, este nuevo documento advierte del alto riesgo que conlleva la utilización de este tipo de sistemas desde la perspectiva de la privacidad, y confirma que “incluye categorías especiales de datos”. Ello supone que su uso, de entrada, esté prohibido, salvo en aquellos casos específicamente previstos en el artículo 9 del RGPD; y la Agencia, tras analizar varios de estos supuestos, llega a una conclusión clara: resulta prácticamente imposible superar el requisito de necesidad establecido para realizar estos tratamientos, aun contando con el consentimiento de los trabajadores. Su lógica es sencilla: si existen alternativas menos intrusivas que permitan controlar el horario (como el uso de tarjetas inteligentes o certificados digitales), debemos optar por ellas; y si sospechamos que puede existir fraude, aboga por la “intervención humana” para prevenirlo, aunque suponga un coste mucho más elevado. Ojo al trabalenguas:

“Al no ser necesario el tratamiento de datos biométricos, no se estaría cumpliendo con lo establecido en el art. 5.1.c del RGPD, y como se explicará más adelante en el capítulo VIII de este documento, al ser un tratamiento de alto riesgo, no cumpliría por tanto el requisito de “necesidad” que le impone el art. 5.1 y 35.7.b. Si el tratamiento es de alto riesgo, además de ser necesario, tiene que demostrarse la evaluación positiva de necesidad (art. 35.7.b del RGPD); que en este caso no se cumpliría, precisamente por esa falta de necesidad”.

Por tanto, salvo en aquellos casos en que se pueda demostrar por parte del empresario la imperiosa necesidad de adoptar esta medida, la utilización de esta tecnología debe ser descartada; y ya les adelanto que, a la vista del contenido de la Guía, justificar esta necesidad se antoja extraordinariamente complicado.

Una alternativa sería emplear, como base de legitimación, las leyes que permiten al empresario “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”; pero la Agencia, con su cambio de criterio, considera ahora que el ordenamiento no ampara el uso de datos biométricos en este contexto… lo que nos lleva a una simple dicotomía: o se modifica el marco jurídico (sea reformando las leyes, sea por la vía de los convenios colectivos), o el uso de sistemas de fichaje con huella dactilar o reconocimiento facial será, simplemente, ilegal.

Si se preguntan por el margen que tienen para adaptarse a esta nueva guía, me temo que la respuesta es clara: a diferencia de lo ocurrido con las cookies, aquí no hay un plazo de gracia. Si siguen usando estos sistemas, asumen el riesgo de ser sancionados. Así de simple.

Para concluir, permítanme un comentario en relación con las empresas proveedoras de soluciones de control biométrico: me preocupa enormemente que un cambio de criterio en una simple guía, sin más valor legal que el interpretativo, sin memoria económica y sin dar previamente audiencia a los afectados, mande a todo un sector “a escardar cebollinos”. Es algo sobre lo que nuestras autoridades deberían reflexionar, ¿no creen?

Medidas de seguridad en empresas…

La preventa de tokens

Con el auge de usuarios e inversores en criptoactivos en España hay un creciente emprendimiento en proyectosbasados en la blockchain, y especialmente, en criptoactivos o tokens, como nueva forma de financiación a través de las ICOs (Initial Coin Offering). Sus ventajas son de sobra conocidas: entre otras, rapidez de despliegue, creciente demanda, posible revalorización a efectos de inversión, y mucha mayor facilidad para captar fondos para desarrollar proyectos que a través de otras vías tradicionales. Sin embargo, cada vez nos encontramos con más proyectos que, antes de la creación de sus tokens y de su distribución pública mediante ICOs, se financian con las preventas de tokens o presales. De ahí que cada vez tengamos que responder con más frecuencia a una misma pregunta: ¿cómo abordar una preventa de tokens desde un punto de vista legal?

Para empezar, es importante entender que un token es algo mucho más amplio que una mera criptomoneda: cada vez es más común que vayan más allá de una unidad de valor emitida por una entidad privada, empleando la blockchain. A modo de resumen estamos hablando de un activo digital (tal y como reconoce el Banco Central Europeo), que puede tener tantos usos y finalidades como se desee. Podemos encontrar tokens intercambiables por bienes y servicios, o empleados como elementos de negociación, fórmulas de otorgamiento de derechos, o herramientas para el control o trazabilidad de bienes, activos, servicios… Y los encontramos en ámbitos tan dispares como las artes plásticas o audiovisuales, los videojuegos, los negocios digitales o tecnológicos… o incluso en sectores tan tradicionales como el inmobiliario, la logística, la formación, el ocio o el deporte.

Pues bien, las preventas de tokens son extraordinariamente útiles para captar fondos que permitan financiar un proyecto a cambio de derechos y una futura revalorización. Para entendernos, se trata de una suerte de crowdfunding basado en criptoactivos, que se realiza en un estadio previo a la creación misma del token, de los smart contracts, de la ICO, e incluso de la aplicación informática o ecosistema en la que se usarán los tokens como elemento canjeable o criptomoneda. Es decir, permiten al emisor la captación de fondos con los que desarrollar a corto plazo el proyecto a cambio de ciertos derechos extras para estos inversores iniciales, frente a los adquirentes del token en la oferta pública (como descuentos, beneficios o derechos especiales sobre el negocio, regalos…).

Desde luego suena bien. Pero ¿qué hay que tener en cuenta para lanzarse a esta criptopiscina? ¿Qué implicaciones legales conlleva? Como en casi todo, no hay una respuesta fácil y sencilla. Si tuviésemos que buscar una palabra que las resuma, y que no tiene nada que ver con mi origen gallego (faltaría más), esta es… ¡depende! Cada proyecto es un mundo, tan complejo o sencillo como se quiera desarrollar, lo que condicionará la estrategia a seguir.

De entrada, debemos aclarar que la creencia según la cual no hay normativa y regulación sobre las criptomonedas y los tokens es falsa. Pensar lo contrario suele llevar a puntos de conflicto de difícil solución. Sin embargo, sí es cierto que se echa en falta una normativa específica y clara sobre estos asuntos, mientras no se aprueba el Reglamento Europeo sobre Mercados de Criptoactivos (MiCA), que pondrá sobre la mesa un tablero de juego y unas reglas diferentes. Mientras tanto, España comienza a pisar el acelerador en materia normativa dotando a la Comisión Nacional del Mercado de Valores (CNMV) de más facultades para el control de ciertos aspectos relacionados con este sector.

La clave legal de todo proyecto de tokenización es tener tres aspectos concretos bien definidos: (1) de qué tipo de token que se trata, (2) la relación entre los inversores y compradores con el emisor y (3) cómo se va difundir y promocionar. Todos estos elementos deben ser definidos antes de la preventa, pues influirán en todo el proceso posterior.

En primer lugar, hay que tener muy claro el tipo de token que se va a crear. A grandes rasgos, se pueden definir dos tipos de tokens según su destino y su valor negociable. En el primer grupo encontramos el «utility token» que sería un activo digital cuyo destino sería servir, a modo de “ficha”, como elemento intercambiable por los derechos especificados por su emisor (bienes, servicios, regalos o premios); y por otro, el «security token» que sería un elemento puramente de inversión con la finalidad de participar en futuros beneficios (por ejemplo, de una empresa o de un proyecto).

Ya en el plano legal, cada uno de los tipos de token tiene aparejada una carga obligacional determinada, siendo más compleja la aplicable a los security. Por ahora, los proyectos basados en utility token se encuentran lejos de tener que cumplir con obligaciones estrictas, siempre que se encuadren en unos límites de capitalización y valor según una modificación de abril de 2021 de la Ley de Sociedades de Capital y otras normas financieras.

Sin embargo, las obligaciones legales, la carga administrativa, y el poder de supervisión de la CNMV se incrementan cuando esos tokens pueden son valores negociables. Cuando aquellos (utility o security) permiten establecer una correlación directa entre las expectativas de rentabilidad del propio token y la evolución del proyecto que se va a realizar, la CNMV entiende que estamos ante instrumentos financieros y sujetos a la Ley de Mercado de Valores, lo que en la práctica viene a engordar la lista de obligaciones a tener en cuenta.

En segundo lugar, hay que considerar también cómo será esa preventa: si se debe actuar por medio de una empresa o a título personal, qué derechos otorga el token al inversor, qué obligaciones asume el emisor en caso de que no se obtengan los resultados esperados en la preventa, qué medios existirán para regular esa relación… así como las cuestiones relacionadas con la protección de datos y los sistemas de KYC (Know Your Customer) derivados de la normativa de prevención de blanqueo de capitales (que puede ser aplicable o no, según los casos). En resumen, se debe de contar con una estrategia legal y contractual adecuada que ofrezca seguridad tanto al emisor y al inversor.

Y en tercer lugar, está el asunto de la publicidad del proyecto para poder alcanzar un mayor impacto y obtención de resultados. Reicientemente, la CNMV ha adquirido competencias en materia publicitaria, y en los anuncios publicados en los medios de comunicación ya se aprecia su intervención. Así, la política de comunicación debe estar alineada con los dos puntos anteriores para no acabar empantanado en más obligaciones de las necesarias, y para no ser incluido el la lista de “Chiringuitos financieros” de la CNMV. Ello supone cuidar mucho lo que se dice y cómo se dice en los famosos “white papers” o “investment road maps”, la actividad publicitaria y las comunicaciones internas con los inversores.

Con todo, en mi opinión, la clave de cualquier proyecto (basado en blockchain o no) radica principalmente en su modelo de negocio y en una buena estrategia inicial que incluya tres bloques básicos: negocio, marketing y legal. No olvidemos que las reglas de la oferta y la demanda son, en última instancia, las que mandan; y se aplican tanto a un nuevo criptoactivo como a un nuevo restaurante. Pero el modo de llevar el proyecto a cabo, evidentemente, influye; y aquí es donde la tecnología, el marketing y la parte jurídica deben coordinarse en una estrategia única que siente las bases del éxito el éxito. Al fin y al cabo ¿quién invertiría en un proyecto con carencias en el plano técnico, con una comunicación dudosa o sin un respaldo legal?

Los CVs, la transparencia y la AEPD

Si tiene usted un negocio y ha leído esta noticia de Xataka, lo más probable es que se debata entre la sorpresa y la indignación. Sorpresa, porque ni se le habría pasado por la cabeza que le pudiesen multar con 2.000€ por no responder a una persona que le envíe su CV por WhatsApp; e indignación, porque parece abrirse una nueva vía para multar a las empresas, con la que está cayendo. ¿Cómo evitar una sanción de estas características? Vamos a tratar de aclararlo.

De entrada, y para su tranquilidad, la noticia no es del todo precisa. Es cierto que la Agencia Española de Protección de Datos ha multado a un autónomo que nunca contestó a un aspirante de empleo que le envió su currículum, pero la multa no tiene que ver con esa falta de respuesta, sino con el incumplimiento de una de las exigencias más básicas de la normativa de privacidad: el deber de información.

Si acudimos al Reglamento General de Protección de Datos, veremos que la primera obligación fijada por esta norma es tratar los datos «de manera lícita, leal y transparente». Esa necesaria transparencia consiste en facilitar información sobre quién, cómo y para qué se tratan los datos personales; lo que debe concretarse, según la propia norma, «de forma concisa, transparente, inteligible y de fácil acceso», con un «lenguaje claro y sencillo».

Como decíamos, la multa que nos ocupa tiene que ver, precisamente, con el incumplimiento de este deber. Así lo recoge la resolución, en sus hechos probados, cuando afirma que «no se ha informado al reclamado (sic) sobre el tratamiento de sus datos personales ni de la posibilidad de ejercitar sus derechos». Ahora bien, existen muchas formas de satisfacer esta obligación sin necesidad de responder manualmente a todos los CVs que se reciban. Veámoslo:

  • La forma más común es incluir la información en la propia oferta de empleo o el formulario de recepción de CVs, mediante un párrafo específico que recoja la información mínima exigida por la normativa, y una referencia a la política de privacidad de la empresa. Es lo que llamamos «transparencia por capas«, y es el método que utilizamos en nuestra propia web;
  • Otra alternativa es emitir una respuesta automática cuando se reciba una candidatura, que además de agradecer el envío del CV, incluya esta importante información. Es algo relativamente sencillo de configurar en cualquier cuenta de correo electrónico, e incluso se puede implementar en WhatsApp y otras plataformas, mediante chatbots;
  • También se pueden utilizar los servicios de sitios web y empresas de selección externas, que den respuesta a esta obligación en nuestro nombre.

Con cualquiera de estas tres opciones se podría haber evitado la multa impuesta por la AEPD, incluso por un coste mínimo. De hecho, la propia Agencia ha publicado un ejemplo del texto informativo que se podría facilitar a los aspirantes a un puesto de trabajo:

«En [EMPRESA] tratamos la información que nos facilita con el fin de mantenerle informado de las distintas vacantes a un puesto de trabajo que se produzcan en nuestra organización. Los datos proporcionados se conservarán hasta la adjudicación de un puesto de trabajo o hasta que Ud. ejerza su derecho de supresión. Los datos no se cederán a terceros. Usted tiene derecho a obtener información sobre si en [EMPRESA] estamos tratando sus datos personales, por lo que puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de datos y oposición y limitación a su tratamiento ante [EMPRESA], [DIRECCIÓN] o en la dirección de correo electrónico [EMAIL], adjuntando copia de su DNI o documento equivalente. Asimismo, y especialmente si considera que no ha obtenido satisfacción plena en el ejercicio de sus derechos, podrá presentar una reclamación ante la autoridad nacional de control dirigiéndose a estos efectos a la Agencia Española de Protección de Datos, C/ Jorge Juan, 6 – 28001 Madrid.»

Evidentemente, con este sencillo procedimiento no se logra un pleno cumplimiento de la normativa de protección de datos, que exige que se definan otros muchos elementos (como las bases de legitimación o los períodos de conservación), que se gestionen adecuadamente los derechos de los afectados, que se implementen unas medidas de seguridad adecuadas… pero, sin duda, es un primer paso para evitar sanciones como la que hoy nos ocupa.

Si les interesa profundizar en el tema, les recomiendo la guía «La protección de datos en las relaciones laborales» publicada por la propia Agencia. Y por si les quedaba alguna duda, ninguna norma obliga a las empresas a responder a quien les envía su CV… más allá de la buena educación.

Unas cláusulas necesarias…