{"id":3062,"date":"2023-11-27T11:00:00","date_gmt":"2023-11-27T09:00:00","guid":{"rendered":"https:\/\/www.audens.es\/blog\/?p=3062"},"modified":"2023-12-04T13:50:37","modified_gmt":"2023-12-04T11:50:37","slug":"adios-a-fichar-con-la-huella","status":"publish","type":"post","link":"https:\/\/www.audens.es\/blog\/adios-a-fichar-con-la-huella\/","title":{"rendered":"Adi\u00f3s a fichar con la huella"},"content":{"rendered":"\n

Si han instalado en su empresa un sistema biom\u00e9trico para controlar el acceso de los trabajadores, ag\u00e1rrense, porque vienen curvas: la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) acaba de publicar una gu\u00eda<\/a> que pone en entredicho la utilizaci\u00f3n de estas tecnolog\u00edas, apart\u00e1ndose del criterio que manten\u00eda hasta ahora. Justificar el uso de la huella dactilar o del reconocimiento facial para fichar se complica enormemente<\/strong>, y la viabilidad econ\u00f3mica de las empresas dedicadas a fabricar o instalar estas soluciones pende de un hilo.<\/p>\n\n\n\n

Pong\u00e1monos en antecedentes: el control de jornada a trav\u00e9s de sistemas biom\u00e9tricos fue analizado por nuestro Tribunal Supremo en su sentencia de 2 de julio de 2007<\/a> (rec. 5017\/2003), que sostuvo que no se trataba de una medida excesiva, dado que la ley permite a los empleadores supervisar el cumplimiento horario de los trabajadores<\/strong> y el recurso a esta tecnolog\u00eda no estaba limitado por norma alguna. De ah\u00ed que concluyese que su uso era leg\u00edtimo, zanjando as\u00ed toda discusi\u00f3n sobre este particular hasta la aprobaci\u00f3n del Reglamento General de Protecci\u00f3n de Datos (2016). La introducci\u00f3n, por esta norma, de los datos biom\u00e9tricos como \u201ccategor\u00eda especial\u201d, cuando se utilizan para identificar de manera un\u00edvoca a una persona, parec\u00eda dificultar el uso de estas soluciones en el \u00e1mbito laboral; pero la AEPD abri\u00f3 la puerta a su utilizaci\u00f3n mediante una h\u00e1bil utilizaci\u00f3n del lenguaje, diferenciando entre \u201cidentificaci\u00f3n\u201d y \u201cautenticaci\u00f3n\u201d<\/strong>:<\/p>\n\n\n\n

\n

\u201cSin embargo, y con car\u00e1cter general, los datos biom\u00e9tricos \u00fanicamente tendr\u00e1n la consideraci\u00f3n de categor\u00eda especial de datos en los supuestos en que se sometan a tratamiento t\u00e9cnico dirigido a la identificaci\u00f3n biom\u00e9trica (uno-a-varios) y no en el caso de verificaci\u00f3n\/autenticaci\u00f3n biom\u00e9trica (uno-a-uno)\u201d.<\/em><\/p>\n<\/blockquote>\n\n\n\n

Aplicando la l\u00f3gica anterior, los sistemas de control de acceso se limitar\u00edan a \u201cverificar\u201d los rasgos de un trabajador, ya identificado previamente; y por tanto, no nos encontrar\u00edamos ante un uso de datos \u201cespeciales\u201d, y la doctrina del Tribunal Supremo seguir\u00eda siendo plenamente v\u00e1lida.<\/p>\n\n\n\n

Esta interpretaci\u00f3n parec\u00eda pac\u00edfica, pero llegado mayo de 2022, el Comit\u00e9 Europeo de Protecci\u00f3n de Datos public\u00f3 unas directrices (aprobadas en abril de 2023<\/a>) que daban al traste con esta teor\u00eda<\/strong>. Les dejo el p\u00e1rrafo (la traducci\u00f3n es m\u00eda):<\/p>\n\n\n\n

\n

\u201cSi bien ambas funciones -autenticaci\u00f3n e identificaci\u00f3n- son distintas, las dos se refieren al tratamiento de datos biom\u00e9tricos relacionados con una persona f\u00edsica identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y m\u00e1s concretamente, un tratamiento de categor\u00edas especiales de datos personales\u201d.<\/em><\/p>\n<\/blockquote>\n\n\n\n

A ra\u00edz de estas directrices, la Agencia comenz\u00f3 a recoger cable: ya en su informe jur\u00eddico 98\/2022<\/a> advirti\u00f3 de que, de confirmarse esta interpretaci\u00f3n, se ver\u00eda abocada a revisar su criterio, para adecuarlo al mantenido por el Comit\u00e9\u2026 y la recientemente publicada gu\u00eda no hace sino confirmar este anuncio.<\/p>\n\n\n\n

En esencia, este nuevo documento advierte del alto riesgo que conlleva la utilizaci\u00f3n de este tipo de sistemas desde la perspectiva de la privacidad, y confirma que \u201cincluye categor\u00edas especiales de datos\u201d. Ello supone que su uso, de entrada, est\u00e9 prohibido, salvo en aquellos casos espec\u00edficamente previstos en el art\u00edculo 9 del RGPD; y la Agencia, tras analizar varios de estos supuestos, llega a una conclusi\u00f3n clara: resulta pr\u00e1cticamente imposible superar el requisito de necesidad establecido para realizar estos tratamientos, aun contando con el consentimiento de los trabajadores<\/strong>. Su l\u00f3gica es sencilla: si existen alternativas menos intrusivas que permitan controlar el horario (como el uso de tarjetas inteligentes o certificados digitales), debemos optar por ellas; y si sospechamos que puede existir fraude, aboga por la \u201cintervenci\u00f3n humana\u201d para prevenirlo, aunque suponga un coste mucho m\u00e1s elevado. Ojo al trabalenguas:<\/p>\n\n\n\n

\n

\u201cAl no ser necesario el tratamiento de datos biom\u00e9tricos, no se estar\u00eda cumpliendo con lo establecido en el art. 5.1.c del RGPD, y como se explicar\u00e1 m\u00e1s adelante en el cap\u00edtulo VIII de este documento, al ser un tratamiento de alto riesgo, no cumplir\u00eda por tanto el requisito de \u201cnecesidad\u201d que le impone el art. 5.1 y 35.7.b. Si el tratamiento es de alto riesgo, adem\u00e1s de ser necesario, tiene que demostrarse la evaluaci\u00f3n positiva de necesidad (art. 35.7.b del RGPD); que en este caso no se cumplir\u00eda, precisamente por esa falta de necesidad\u201d.<\/em><\/p>\n<\/blockquote>\n\n\n\n

Por tanto, salvo en aquellos casos en que se pueda demostrar por parte del empresario la imperiosa necesidad de adoptar esta medida, la utilizaci\u00f3n de esta tecnolog\u00eda debe ser descartada<\/strong>; y ya les adelanto que, a la vista del contenido de la Gu\u00eda, justificar esta necesidad se antoja extraordinariamente complicado.<\/p>\n\n\n\n

Una alternativa ser\u00eda emplear, como base de legitimaci\u00f3n, las leyes que permiten al empresario \u201cadoptar las medidas que estime m\u00e1s oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales\u201d; pero la Agencia, con su cambio de criterio, considera ahora que el ordenamiento no ampara el uso de datos biom\u00e9tricos en este contexto\u2026 lo que nos lleva a una simple dicotom\u00eda: o se modifica el marco jur\u00eddico (sea reformando las leyes, sea por la v\u00eda de los convenios colectivos), o el uso de sistemas de fichaje con huella dactilar o reconocimiento facial ser\u00e1, simplemente, ilegal<\/strong>.<\/p>\n\n\n\n

Si se preguntan por el margen que tienen para adaptarse a esta nueva gu\u00eda, me temo que la respuesta es clara: a diferencia de lo ocurrido con las cookies, aqu\u00ed no hay un plazo de gracia. Si siguen usando estos sistemas, asumen el riesgo de ser sancionados. As\u00ed de simple.<\/p>\n\n\n\n

Para concluir, perm\u00edtanme un comentario en relaci\u00f3n con las empresas proveedoras de soluciones de control biom\u00e9trico: me preocupa enormemente que un cambio de criterio en una simple gu\u00eda, sin m\u00e1s valor legal que el interpretativo, sin memoria econ\u00f3mica y sin dar previamente audiencia a los afectados<\/strong>, mande a todo un sector \u201ca escardar cebollinos\u201d. Es algo sobre lo que nuestras autoridades deber\u00edan reflexionar, \u00bfno creen?<\/p>\n","protected":false},"excerpt":{"rendered":"La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos ha publicado una gu\u00eda que, en la pr\u00e1ctica, conllevar\u00e1 la desaparici\u00f3n de los controles de horarios mediante tecnolog\u00edas biom\u00e9tricas, como la huella dactilar o el reconocimiento facial. [+]<\/A>","protected":false},"author":5,"featured_media":3066,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[50,154,226],"class_list":["post-3062","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-proteccion_de_datos","tag-aepd","tag-control-laboral","tag-datos-sensibles"],"_links":{"self":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/posts\/3062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/comments?post=3062"}],"version-history":[{"count":0,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/posts\/3062\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/media\/3066"}],"wp:attachment":[{"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/media?parent=3062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/categories?post=3062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.audens.es\/blog\/wp-json\/wp\/v2\/tags?post=3062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}