Legitimació per tractar dades biomètriques en l'entorn laboral
Josep Aragonés Salvat 23/10/2019
La instal·lació d'un sistema de control d'accés i horari basat en la recollida i el tractament d'un patró de l'empremta dactilar dels empleats comporta el tractament de les seves dades personals, ja que l'empremta dactilar és una dada biomètrica, i aquesta es defineix com informació personal obtinguda a partir d'un tractament tècnic específic, relatiu a les característiques físiques, fisiològiques o conductuals d'una persona física que permetin o confirmin la seva identificació única, per exemple, imatges facials, l'iris, empremtes dactilars, etc.
Les dades biomètriques són considerades categories especials de dades, de manera que només pot legitimar el seu tractament emparant-se en alguna de les excepcions establertes en l'art. 9.2 GDPR. Les que es poden aplicar a aquest tipus de tractament són:
- 9.2 a) l'interessat ha donat el seu consentiment explícit per al tractament d'aquestes dades personals amb un o més dels fins especificats, excepte quan el Dret de la Unió o dels estats membres estableixi que la prohibició esmentada a l'apartat 1 no pot ser aixecada per l'interessat.
- 9.2 b) el tractament és necessari per al compliment d'obligacions i l'exercici de drets específics del responsable del tractament o de l'interessat en l'àmbit del Dret laboral i de la seguretat i protecció social, en la mesura que així ho autoritzi el Dret de la Unió dels Estats membres o un conveni col·lectiu d'acord amb el Dret dels Estats membres que estableixi garanties adequades del respecte dels drets fonamentals i dels interessos de l'interessat.
Legitimar el tractament emparant-se en l'art. 9.2 a) GDPR
Per legitimar el tractament de dades biomètriques d'acord amb l'excepció de l'art. 9.2 a), els empleats haurien de prestar el consentiment mitjançant una declaració o una clara acció afirmativa, que podria ser signant una clàusula on la faciliti tota la informació del tractament establerta en l'art. 13 GDPR. S'ha de tenir en compte que els interessats poden oposar-se al tractament en el moment que es faciliti la informació i se sol·liciti el consentiment, o posteriorment en qualsevol moment. Pel que, si ens basem en aquesta legitimació, en no estar obligats, no assegurarem que tot el personal faciliti les seves dades biomètriques.
No obstant això, en l'àmbit laboral, la legitimació del tractament a través del consentiment del treballador no és el recomanable, i és que, amb caràcter general, en el marc de les relacions laborals hi ha una situació de desequilibri de poder entre l'empleat i el ocupador, i són comptades i escasses les ocasions en què els treballadors poden prestar el seu consentiment de forma "lliure", tal com exigeix ??el GDPR. Per això, per la dificultat que pot resultar dir-li al cap que no, la base de legitimació d'aquest tractament de dades hauria emparar-se en l'interès legítim del responsable (art. 6.1.f GDPR), tal com exposem a continuació.
Legitimar el tractament emparant-se en l'art. 9.2 b) GDPR
Per legitimar el tractament de dades biomètriques d'acord amb l'excepció de l'art. 9.2 b), el tractament podrà emparés en l'interès legítim de l'ocupador de l'art. 6.1.f) GDPR, basat en l'art. 20.3 de l'Estatut dels Treballadors conforme al qual, l'empresari pot adoptar les mesures que consideri més oportunes de vigilància i control per verificar el compliment pel treballador de les seves obligacions i deures laborals, guardant en la seva adopció i aplicació la consideració deguda a la seva dignitat humana i tenint en compte la capacitat real dels treballadors disminuïts.
Aquest tipus de tractament pot comportar un alt risc per als drets i llibertats dels interessats i per aquest motiu s'han de tenir en compte dues possibilitats per realitzar el tractament:
1. Tractament de dades biomètriques dut a terme pel responsable
En aquest cas, amb caràcter previ a la decisió sobre la posada en marxa d'un sistema de control d'aquest tipus, tenint en compte les implicacions de l'ús de noves tecnologies, l'observació sistemàtica dels hàbits dels treballadors i el tractament de dades d'una categoria especial (biomètriques), seria necessari dur a terme una avaluació de l'impacte relativa a la protecció de dades (DPIA) per avaluar tant la legitimitat del tractament i la seva proporcionalitat com la determinació dels riscos existents i les mesures per mitigar (art. 35 GDPR).
A la vista de les consideracions descrites, entendrem com adequat a la normativa en matèria de protecció de dades, el tractament de les dades biomètriques dels treballadors amb la finalitat de control d'accés al seu lloc de treball sempre que es realitzi una DPIA.
2. Tractament de dades biomètriques dut a terme directament per l'interessat
En relació amb l'especial naturalesa que el GDPR confereix a les dades biomètriques i l'exigència d'??una especial atenció no només a la proporcionalitat, sinó a la pròpia minimització de la dada; és a dir, que només sigui objecte de tractament en tant aquest resulti completament imprescindible per al compliment de la finalitat perseguida, es podria utilitzar un sistema on la dada biomètrica romangués sota el control del treballador i no del responsable, de manera que el sistema només incorporés el registre horari juntament amb la identificació del treballador que estaria certificada pel sistema propi del dispositiu de l'interessat, per exemple, usant l'empremta dactilar en el seu telèfon mòbil, tal com s'usa en ocasions per accedir a les app d'entitats financeres.
En aquest sentit, l'AEPD, tant en l'Informe 0065/2015, com en diverses consultes que se li han plantejat al respecte, posa de manifest el següent:
"L'objectiu podria aconseguir-se si s'establís un sistema de control de l'accés que, sense perjudici d'aplicar mesures de control biomètric, permetés que el mateix dada biomètrica, l'empremta dactilar, romangués sota el control de l'interessat (en aquest cas el treballador) i no fos incorporat al sistema. D'aquesta manera, seria possible que la verificació es dugués a terme a partir d'un dispositiu que portés l'empleat, de manera que el sistema únicament s'emmagatzemés la informació referida a l'entrada o sortida del centre de treball, sense que en cap moment reflectís el algoritme de l'empremta.
Així, el sistema únicament emmagatzemaria la informació identificativa de l'empleat i en cap cas inclouria la relacionada amb l'algoritme de l'empremta dactilar, el que minimitzaria la ingerència de la mesura adoptada sense això perjudicar el resultat que la mateixa pretén ".
Informació del tractament a l'interessat
En grans empreses, el recomanable és comunicar prèviament al Comitè d'empresa o al Representant dels treballadors, segons sigui el cas, de la posada en marxa del sistema a utilitzar, informant-los dels avantatges i inconvenients del mateix i fent-los partícips de la conveniència del seu ús.
En qualsevol cas, caldria informar els treballadors mitjançant una circular, amb els detalls del tractament establerts en l'art. 13 GDPR, pels mitjans habituals de comunicació, per poder demostrar que s'ha informat degudament el tractament. A més, si s'utilitzen sistemes automatitzats per tractar aquests tipus de dades, es recomana afegir a la informació obligatòria, els detalls i la lògica del procediment, com:
- Obligació de facilitar les dades biomètriques: conseqüències de negar-se a facilitar-les.
- Mitjans de tractament: dispositius utilitzats per realitzar el control.
- Operativa: períodes de funcionament.
- Funcionament: descripció generalitzada del sistema i moments en els quals el treballador ha de realitzar el control.
- Incompliment: conseqüències de no registrar els controls.
Conclusions
Atenent el que disposa el Dictamen CNS 63/2018 de l'Autoritat Catalana de Protecció de Dades, traslladem les següents conclusions:
"La inclusió de les dades biomètriques, entre elles les de l'empremta dactilar, entre les categories especials de dades previstes pel GDPR no permet concloure de manera automàtica que la implantació d'un sistema de control horari basat en la recollida d'aquest tipus de dades pugui considerar proporcionada i, per tant, d'acord amb el principi de minimització. Cal fer una avaluació de l'impacte sobre la protecció de dades a la vista de les circumstàncies concretes en què es dugui a terme el tractament per determinar la seva legitimitat i proporcionalitat, inclòs l'anàlisi de l'existència d'alternatives menys intrusives, i establir les garanties adequades.
En el cas del control d'accés a dependències o zones que requereixin unes condicions de seguretat reforçades, l'ús d'aquest tipus de sistemes pot resultar justificat en determinats casos, si bé també resulta necessari dur a terme amb caràcter previ l'avaluació de l'impacte en la protecció de dades."
En el cas del control d'accés a dependències o zones que requereixin unes condicions de seguretat reforçades, l'ús d'aquest tipus de sistemes pot resultar justificat en determinats casos, si bé també resulta necessari dur a terme amb caràcter previ l'avaluació de l'impacte en la protecció de dades."
Documents relacionats
Informe AEPD 0065/2015:
https://www.aepd.es/media/informes-historicos/2015-0065_Control-de-acceso-al-comedor-por-huella-digital.pdf
Dictamen APDCAT CNS 63/2018:
https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Dictamens/2018/Documents/es_cns_2018_063.pdf