És legal fitxar amb l’empremta dactilar a la feina?

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat una guia sobre l’ús de sistemes biomètrics per al control de presència i accés, analitzant si un sistema de reconeixement d’empremta dactilar per a fitxar l’entrada o sortida de la feina incompleix les premisses de la normativa sobre protecció de dades.

Com ja deu saber, el control de presència és un tractament de dades que es fa amb una finalitat concreta: registrar la jornada, controlar l’accés, entre altres motius. Però aquest tractament sempre ha de complir amb la normativa de protecció de dades i amb els principis, drets i obligacions que s’estableixen en la normativa de protecció de dades.

La normativa laboral (article 20.3 de l’Estatut dels Treballadors) indica que «L’empresari podrà adoptar les mesures que estimi més oportunes de vigilància i control per a verificar el compliment pel treballador de les seves obligacions i deures laborals». Atesa aquesta norma sembla que seria possible usar el registre de jornada per empremta dactilar de manera legal. No obstant això:

  • L’art. 9 del Reglament General de Protecció de Dades (RGPD) regula el tractament de categories especials de dades, entre les quals es troben les dades biomètriques, establint una prohibició general del seu tractament en els següents termes: «Queden prohibits el tractament de dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca a una persona física, dades relatives a la salut o dades relatives a la vida sexual o l’orientació sexual d’una persona física».

Què es consideren dades biomètriques? Es consideren dades biomètriques les dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com a imatges facials o dades dactiloscòpiques.

La normativa sobre protecció de dades inclou els sistemes d’identificació per empremta dactilar i dades biomètriques com a «categoria especial», diferenciant els conceptes d’identificació i autenticació en funció de cada cas concret i de les particulars tècniques emprades en relació amb la finalitat perseguida pel tractament, així com la necessitat d’atorgar la màxima protecció als drets dels afectats enfront de l’ús de tècniques que poden ser més invasives per a la seva privacitat i generar més riscos per als seus drets i llibertats.

En relació amb el tractament en l’àmbit del Dret laboral i de la seguretat i protecció social exigeix que existeixi una habilitació legal -o conveni col·lectiu-, i a més imposa el requisit que el tractament sigui “necessari”.

Actualment, la normativa no conté autorització prou específica per considerar necessari el tractament de dades biomètriques amb la finalitat d’un control horari de la jornada de treball.

Què diu l’Agència Espanyola de Protecció de Dades (AEPD)?

L’ús de dades biomètriques per a la identificació de les persones en l’entorn laboral encara continua suscitant dubtes pel que l’AEPD el passat 23 de novembre de 2023 va publicar la «Guia sobre tractaments de control de presència mitjançant sistemes biomètrics», un document que fixa els criteris per a la utilització de la biometria per al control d’accés, tant amb finalitats laborals com no laborals, establint les mesures que cal tenir en compte perquè un tractament de dades personals que faci servir aquesta tecnologia compleixi amb el RGPD entre altres normatives.

L’agència considera el tractament de dades biomètriques, tant per a identificació com per a autenticació, com un tractament d’alt risc que inclou categories especials de dades. Tal com estableix el RGPD, per poder tractar aquestes categories cal que existeixi una circumstància que aixequi la prohibició del seu tractament i, a més, una condició que ho legitimi.

En el cas del registre de jornada i control d’accés amb finalitats laborals, si l’aixecament de la prohibició es basa en l’article 9.2.b) del RGPD, el responsable ha de comptar amb una norma amb rang de llei que autoritzi específicament utilitzar dades biomètriques per a aquesta finalitat. L’agència especifica que, en el marc d’aquests tractaments, el consentiment no pot aixecar la prohibició o ser una base per a determinar-ne la licitud, en existir un desequilibri entre la persona a la qual se sotmet al tractament i qui l’està duent a terme.

En el cas del control d’accessos fora de l’àmbit laboral, el consentiment tampoc podrà ser una circumstància que aixequi la prohibició, ja que és un tractament d’alt risc, i no supera el requisit de necessitat (article 35.7.b).

La guia també estableix restriccions en els tractaments biomètrics fets per al control de presència quan es prenen decisions automatitzades sense intervenció humana que tinguin efectes jurídics sobre la persona o l’afectin significativament de manera similar.

En tot cas, la guia precisa que, en cas de pretendre captar dades biomètriques, de manera prèvia a l’inici del tractament, serà obligatòria la realització d’una avaluació d’impacte per a la protecció de dades en la qual, entre altres aspectes, s’acrediti la superació de la triple anàlisi d’idoneïtat, necessitat i proporcionalitat del tractament.

Finalment, l’agència també afegeix un llistat de mesures que s’han de fer si se superen tots els requisits de compliment dels principis del RGPD:

  • Informar les persones sobre el tractament biomètric i els riscos elevats associats a aquest.
  • Implementar en el sistema biomètric la possibilitat de revocar el vincle d’identitat entre la plantilla biomètrica i la persona física.
  • Implementar mitjans tècnics per a assegurar-se la impossibilitat d’utilitzar les plantilles per a qualsevol altre propòsit.
  • Emprar xifratge per a protegir la confidencialitat, disponibilitat i integritat de la plantilla biomètrica.
  • Fer servir formats de dades o tecnologies específiques que impossibilitin la interconnexió de bases de dades biomètriques i la divulgació de dades no comprovada.
  • Suprimir les dades biomètriques quan no es vinculin a la finalitat que va motivar el seu tractament.
  • Implementar la protecció de dades des del disseny.
  • Aplicar la minimització de les dades recollides, amb una avaluació objectiva que no hi ha tractament de categories especials de dades.

Font: AEPD