Bajo los nuevos criterios del CEPD y la guía de la AEPD para la utilización de datos biométricos, fichar con huella dactilar no es legal. En este artículo profundizaremos en por qué ya no es legal realizar el control horario con la huella dactilar.
En este artículo hablamos de:
- ¿Es legal fichar con la huella dactilar en el trabajo?
- El registro de la jornada laboral mediante el uso de datos biométricos
- Sanciones por fichar con datos biométricos e incumplir la normativa de la AEPD
- ¿Cómo deben fichar los empleados para cumplir con la Ley de protección de datos?
- Alternativas para sustituir el fichaje biométrico
¿Es legal fichar con la huella dactilar en el trabajo?
No es legal fichar con la huella dactilar en el trabajo, puesto que estamos ante el uso de un dato biométrico considerado como dato de categorías especial según el RGPD.
La prohibición de usar un sistema de fichaje por huella dactilar (o cualquier otro dato biométrico, como, por ejemplo, el reconocimiento facial) llega a España a través de la guía de la AEPD sobre tratamientos de control de presencia mediante sistemas biométricos (publicada a finales de 2023 para incluir los nuevos criterios del CEPD al respecto), en la que se considera que usar datos biométricos para el control horario es un tratamiento de categorías especiales de datos.
Esto significa que fichar con huella dactilar se considera una medida muy invasiva y desproporcionada, que, además, podría poner en riesgo los derechos y libertades de los trabajadores (especialmente por el valor que los datos biométricos tienen en el mercado negro).
Por lo tanto, el uso de la huella dactilar para el control horario queda, a todos los efectos, muy restringido, ya que solo podría usarse en el caso de que concurran estas circunstancias:
- Existe una norma con rango de ley que legitime el uso del fichaje con huella dactilar (aunque ya adelantamos que en la legislación española actual, tal y como expresa la AEPD en su guía, no existe).
- Se ha superado el juicio de idoneidad, necesidad y proporcionalidad.
- No existen medios alternativos menos intrusivos o los usados han demostrado ser problemáticos o no ser lo suficiente fiables (esto debe quedar suficientemente justificado).
Así mismo, es importante señalar que el consentimiento expreso de los trabajadores no sería suficiente en este caso para levantar la prohibición del uso de datos biométricos para el control de presencia, puesto que en las relaciones laborales se produce un desequilibrio de poder entre empleador y empleados, por lo que el consentimiento no se puede considerar libre y voluntario.
El registro de la jornada laboral mediante el uso de datos biométricos
El uso de la huella dactilar como método para fichar en el trabajo comenzó a extenderse cuando se hizo obligatorio por ley que las empresas registrasen la jornada laboral de sus empleados. Muchas organizaciones optaron por instalar un sistema de reconocimiento de huellas dactilares en los controles de acceso, para así registrar de manera automatizada la entrada y salida de sus empleados.
El empleo de un lector de huellas permite registrar de forma rápida y sencilla la jornada de los empleados, especialmente al combinarse con el control de acceso al centro de trabajo. Además, al fichar con la huella dactilar, no es posible que un empleado lo haga por otro (como podría ocurrir con un sistema basado en tarjetas, por ejemplo), por lo que muchas empresas lo vieron como un plus.
Ahora bien, cuando los datos biométricos son procesados por medios técnicos para identificar de manera inequívoca una persona, adquieren, cómo dijimos más arriba, la categoría de datos especiales (art. 9 del RGPD).
Hasta ahora, la AEPD diferenciaba entre identificación y autenticación biométrica para permitir el uso de datos biométricos para el control horario o el control de accesos, entendiendo que la autenticación no suponía un tratamiento de datos especialmente protegidos.
Sin embargo, con los criterios actuales del CEPD (Comité Europeo de Protección de Datos) tanto identificación como autenticación mediante datos biométricos se considera un tratamiento de datos personales sensibles y así lo recoge la ya citada guía de la AEPD, por lo que queda prohibido fichar con huella dactilar en el trabajo (o mediante cualquier otro sistema biométrico) y se debe usar una alternativa adecuada.
Sanciones por fichar con datos biométricos e incumplir la normativa de la AEPD
Usar datos biométricos para fichar en el trabajo es ya motivo de sanción, especialmente porque con el cambio de criterio introducido por la AEPD en su guía, no se ha dado ningún plazo para dejar de usar estos sistemas de fichaje biométricos.
Teniendo en cuenta que las sanciones impuestas por la AEPD por usos indebidos de sistemas de fichaje con datos biométricos han ido de los 5.000 a los 200.000 euros, es de esperar que las sanciones por fichar con datos biométricos puedan alcanzar (y superar) esas cifras.
También es posible que antes de comenzar a sancionar, la AEPD recurra al apercibimiento y el requerimiento de cese del uso de la huella dactilar para el control horario a las empresas que lo estén usando.
¿Cómo deben fichar los empleados para cumplir con la Ley de protección de datos?
Para fichar cumpliendo la Ley de protección de datos, las empresas y organizaciones pueden recurrir a otros sistemas menos invasivos y garantistas con la privacidad de los datos de los empleados.
Estos sistemas de fichaje solo utilizarán los datos mínimamente necesarios para cumplir con la finalidad de registrar la jornada laboral, solo podrán ser gestionados por el personal autorizado (normalmente, el de Recursos Humanos) y contarán con las medidas de seguridad necesarias para evitar la pérdida, manipulación o destrucción.
Alternativas para sustituir el fichaje biométrico
Algunos sistemas alternativos al fichaje biométrico y que cumplen con la Ley de protección de datos son:
- Tarjetas NFC.
- Aplicación para fichar en el móvil o el ordenador.
- Lectura de QR desde el móvil
- Registro de TAGs desde el móvil.
En conclusión, los sistemas de fichaje biométrico quedan prohibidos por la normativa actual de protección de datos, por lo que si tu empresa está utilizando uno de estos sistemas, debes cambiarlo cuanto antes por un método menos invasivo, como los citados más arriba, para evitar denuncias y una sanción por parte de la AEPD.