Prohibido el uso de biométricos para registro de la jornada laboral y para control de presencia

Prohibido el uso de biométricos para registro de la jornada laboral y para control de presencia

El uso de datos biométricos que realizan las empresas para control de accesos y para registro de la jornada laboral queda prohibido a partir de ahora para el 99.97% de las empresas.

La AEPD tiene una Guía sobre relaciones laborales, publicada el 18 de mayo de 2021, en la que explica que se pueden utilizar datos biométricos de los trabajadores, siempre y cuando la empresa cumpla diez obligaciones (información a trabajadores, protección de datos desde el diseño, criterios de almacenamiento de datos biométricos, etc).

Ahora bien, el 23 de noviembre de 2023 la AEPD ha publicado nueva una guía concreta y específica titulada “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” en la que reconsidera su interpretación.

Puedes leerte las 31 páginas que tiene la guía, o puedes leerte este resumen que he preparado, en que te lo explico con mis propias palabras, sacrificando precisión jurídica a cambio de claridad para nos que no sean abogados.

La antigua guía diferenciaba entre identificación y autenticación.

La autenticación se da si el trabajador pone su código de trabajador (ejemplo el 33, es el código de Pepe) y a continuación el sistema examinaba el rostro (o la  huella) de la persona que tenía delante, y decidía si era Pepe o no era Pepe.

La identificación se da si el trabajador se pone delante del dispositivo, y el sistema examina su rostro (o su huella) y la compara con todos los rostros (o huellas) de los usuarios registrados en el sistema y dice, “OK, te acabo de encontrar en mi base de datos, eres Pepe”.

La identificación se consideraba un tratamiento de NIVEL ALTO.
La autenticación, NO. Y por aquí, nos podíamos escapar de las obligaciones impuestas a los tratamientos de nivel alto.

La nueva guía expone los criterios por los que, a partir de ahora ambos tratamientos se consideran de nivel alto: el desarrollo tecnológico permite extraer más detalles de los rasgos biométricos de una persona. Ahora un buen sistema biométrico, además de identificar el rostro de Pepe, puede llegar a decirte la probabilidad de que Pepe esté enfermo o de que tenga un problema psicológico. Y un sistema de huella dactilar, además de identificar que se trata de Pepe, puede registrar datos de salud, como la temperatura corporal de Pepe, y su presión sanguínea.

Y dada la muy alta sensibilidad de estos datos, la AEPD no quiere que una empresa se plantee el utilizarlos, aunque Pepe haya dado su consentimiento. Más adelante te explico porqué.

El RGPD (Reglamento General de Protección de Datos) prohíbe el uso de datos de nivel alto, salvo que concurra alguna de estas circunstancias:

Existencia de una norma de rango de ley:

Hay una ley que obliga a las empresas a registrar la jornada laboral, pero en esa ley no obliga a que la empresa tenga que utilizar dispositivos de control biométrico para ello.

Por tanto, la ley no te sirve como excusa para poner un dispositivo de control biométrico.

Juicio de proporcionalidad:

El uso de datos biométricos supone una medida restrictiva de los derechos y libertades de los individuos.

El Tribunal Constitucional, en su sentencia 14/2003 nos dice que cualquier medida restrictiva de derechos fundamentales ha de superar el juicio de proporcionalidad cumpliendo estas tres condiciones: Que sea idónea, necesaria y que su adopción genere más beneficios que inconvenientes.

En la propia guía la AEPD nos dice que el sistema de control de presencia y control de accesos en las empresas se ha utilizado varios siglos sin necesidad de utilizar datos biométricos. En 1980, el principal fabricante de automóviles en España tenía 30.000 empleados y controlaba sus entradas y salidas sin sistemas biométricos. Así que, si tu empresa tiene menos de 30.000 empleados, bien puedes hacer como ellos y no usar biométricos.

Y puesto que no puedes demostrar que es necesario, no supera el juicio de proporcionalidad.

Consentimiento del interesado

En una relación empresa / trabajador, se presupone que la empresa es más poderosa que el trabajador y por tanto, ha de demostrar que el consentimiento es lícito.

Para que el consentimiento sea lícito, la empresa ha de proporcionar al interesado una alternativa.

Si existe una alternativa, ya la propia empresa está demostrando que no es necesario el uso de biométricos.

Conclusión de la AEPD: En un tratamiento de registro de jornada implementado con técnicas biométricas el consentimiento del interesado no levanta la prohibición del tratamiento.

¿Y si ya tengo instalado un sistema de control de accesos / registro de la jornada laboral que usa huella dactilar o reconocimiento facial?

Intenta ver si el fabricante te permite utilizarlo anulando el sistema biométrico y sustituyéndolo por uno de estos mecanismos:

  • PIN o contraseña para cada trabajador.
  • Tarjeta RFID para cada trabajador.
  • Sistema NFC utilizando el teléfono móvil de cada trabajador.

¿Cómo puedo hacer que en mi empresa sí sea legal utilizar sistemas biométricos?

No lo tienes fácil. De entrada, biométrico = nivel alto, y por tanto, necesitas una EIPD (Evaluación de Impacto sobre la protección de datos), que es un análisis laborioso (y caro).

Y aunque estés dispuesto a gastar dinero, a ver si se te ocurre cómo superarás el juicio de proporcionalidad y demostrarás la absoluta necesidad de utilizar esos biométricos para control de acceso.
Si tu empresa maneja secretos militares y tiene contratos con la OTAN, podemos ayudarte. En caso contrario, lo veo difícil.

PD: Si tienes gusto de leerte la guía de la AEPD, la tienes aquí: Guía sobre tratamientos de control de presencia mediante sistemas biométricos.

— Editado y añadido el 6/2/2024 Manifestaciones de un fabricante de dispositivos de control biométrico ——-

Uno de nuestros clientes, tras contactar con el fabricante de los equipos de dispositivos de control biométrico, recibe la siguiente respuesta:

Hemos detectado algunas noticias en que los periodistas, sin analizar a fondo la guía de la AEPD concluyen de forma tajante que usar sistemas biométricos es ilegal y los que lo hagan serán sancionados.

Nuestra empresa ha analizado todo el documento y lo que contiene la Guía son recomendaciones en caso de implementación del sistema. Si te dice cómo has de hacerlo, no puede ser ilegal ni estar prohibido.

Os destaco algunos de los puntos para que los podáis valorar:

La legislación vigente sigue siendo la misma desde 2018: El mismo Reglamento General de Protección de Datos (RGPD) y la misma Ley Orgánica de Protección de Datos (LOPD).

La nueva exigencia de la AEPD es que será necesario realizar una declaración de impacto y justificar su uso.

Sí entendemos que, para el control de acceso “con fines no laborales” debemos utilizar necesariamente como base de legitimación el consentimiento del interesado siempre que se ofrezca una alternativa libre (tarjeta, QR, PIN…). Este es el caso de la asistencia a locales de pública concurrencia con acceso controlado: estadios de fútbol, conciertos o entrada a instalaciones deportivas.

Pero ciñéndonos al ámbito laboral, consideramos que la AEDP, al publicar esta guía se está atribuyendo una función legislativa que no posee: Está prohibiendo el consentimiento explícito y libre como base de legitimación del registro de jornada. Esta es una interpretación muy discutible por lo que consideramos que se han extralimitado en sus funciones.

Pero, incluso admitiendo la prohibición del consentimiento de los trabajadores como base de legitimación, dado que el registro de jornada es una obligación impuesta por ley a las empresas con la finalidad de garantizar el cumplimiento de los horarios de los trabajadores dentro de la jornada laboral, definiendo un entorno de seguridad jurídica tanto para empresas como para los trabajadores, toda vez que posibilita el control por parte de la Inspección de Trabajo y Seguridad Social, entendemos que todavía es posible legitimar el tratamiento para el registro de jornada basándonos en la excepción prevista en el punto 9.2.g del RGPD:

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

Un requisito fundamental para el registro de la jornada laboral es que sea fiable y objetivo, y que permita poner los datos a disposición de los trabajadores, de sus Representación Legal de los Trabajadores y de la Inspección de Trabajo y Seguridad Social. La limitación de uso de las medidas técnicas más efectivas (biometría) iría en contra del interés público establecido en el apartado 9.2.g).

Por ello consideramos totalmente válido utilizar el apartado 9.2.g) como base de legitimación del tratamiento de «Registro de la Jornada Laboral» y dado que en la guía se consideran equivalentes el control de acceso con fines laborales y el registro de jornada laboral, a nuestro buen saber y entender, también sería de aplicación el apartado 9.2.g para legitimar el uso de biométricos para el «Control de acceso de trabajadores».

— Respuesta a nuestro cliente——-

Hola [Cliente],

Estoy muy de acuerdo con los argumentos de tu proveedor, pero yo sí me he leído la guía publicada por la AEPD y su tesis es esta:

1) Para utilizar datos biométricos es imprescindible realizar una evaluación de impacto sobre la protección de datos (EIPD) y justificar la necesidad del uso de biométricos.

2) La relación empresa-trabajador no se considera equilibrada, sino que la empresa tiene poder sobre el trabajador, por lo que cualquier tratamiento basado en el consentimiento se mirará con lupa y se dudará de ese consentimiento.

3) Para que el consentimiento sea válido, la empresa tendrá que demostrar que tiene otras alternativas igualmente válidas si el trabajador declina dar su consentimiento. Estas alternativas pueden ser, por ejemplo, las tarjetas NFC.

4) Si es posible sustituir el tratamiento biométrico por otro menos intrusivo, como la tarjeta NFC, ya no hay manera de justificar la necesidad planteada en el punto 1 y por tanto la empresa debe utilizar el tratamiento menos intrusivo y renunciar a uso de biométricos.

¿Es factible utilizar como base de legitimación el apartado 9.2 g)? Es discutible si el tratamiento de biométricos es «proporcional al objetivo perseguido», cuando queda claro que técnicamente existen alternativas menos intrusivas para la privacidad de los trabajadores.

¿Cuándo tendremos claridad jurídica sobre este tema? Cuando la AEPD sancione a alguna empresa por utilizar biométricos, la empresa lo recurra y llegue hasta el Tribunal Supremo, y éste dicte una sentencia que siente jurisprudencia. (Calculo que eso no ocurrirá antes de 2028)

¿Quieres arriesgarte a que tu empresa reciba la sanción y tenga que pelear con la AEPD hasta que el Tribunal Supremo dicte sentencia? Yo no te lo aconsejo. Es caro, largo y durante el camino tendrás que pagar o avalar el importe económico de la sanción.

Pero si quisieras arriesgarte, mi consejo es que le pidas a esta empresa que te hagan ellos la Evaluación de Impacto sobre la protección de datos que cita el punto 1), que suscribas un contrato con ellos en el que asuman los costes derivados de cualquier sanción que te imponga la AEPD por el uso de biométricos, y que te demuestren que tienen un buen seguro para cubrir esa obligación.

Un cordial saludo,

El equipo de Adelopd.

Un transportista es responsable o encargado del tratamiento

Un transportista es responsable o encargado del tratamiento

Una empresa que necesita enviar mercancía a sus clientes o a sus colaboradores, utiliza habitualmente servicios de empresas de transporte.

Ahora bien, en el marco de la Ley de Protección de Datos, dicho transportista ¿debe considerarse responsable del tratamiento o encargado del tratamiento?

El criterio es el siguiente:

las empresas de mensajería registran los datos de remitente y destinatario en su base de datos, deciden sobre la manera de llevar a cabo el servicio y usan los datos para sus fines, por tanto, pasan a ser Responsables de tratamiento.

El criterio de la AEPD es que en las empresas de mensajería “no se produce una actuación del consultante como encargado del tratamiento, sino que incorpora los datos personales recabados para sus propios fines, y es él quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, emplea la información obtenida para sus propios fines, integrándola finalmente en sus propias bases de datos, para la prestación del Servicio

En cambio, si el servicio consiste en que el transportista recoge una mercancía y la lleva directamente al destino indicado sin que la mercancía baje del camión, debería considerarse encargado del tratamiento. Es caso es todavía más claro si el transportista es dueño de la cabeza tractora y se limita a enganchar la carga y llevarla al destino.

Añadir empleado a grupo de Whatsapp o Telegram

Añadir empleado a grupo de Whatsapp o Telegram

Una pregunta recurrente es si una empresa puede utilizar grupos de Whatsapp o Telegram para coordinar la actividad, obligando o solicitando el consentimiento de sus empleados para ello. Veamos los casos posibles:

CASO 1: Dispositivo y número de teléfono proporcionados por la empresa.

En este caso no hay ningún inconveniente. La empresa tiene la facultad de decidir qué herramientas organizativas utiliza, y puede establecer que los teléfonos de empresa deben tener instalado la aplicación Whatsapp y/o Telegram, y dar de alta los grupos que considere, para organizarse como quiera.

CASO 2: Dispositivo y/o número de teléfono proporcionados por el trabajador

Este caso es mucho más delicado.

La empresa no puede obligar al trabajador a utilizar ni su dispositivo ni su número de teléfono personal para actividades relacionadas con el trabajo.

El Estatuto de los Trabajadores establece que  “la ajenidad propia del contrato de trabajo implica, entre otras cosas, la ajenidad en los medios, lo que implica que es el empleador el que tiene que proporcionar al trabajador los medios necesarios para el desenvolvimiento de su relación laboral”

El Comité Europeo de Protección de Datos en sus “Directrices 5/2020 sobre el consentimiento en el sentido del RGPD”, afirma que “con el artículo 7, apartado 4, en vigor, será más difícil que el responsable del tratamiento demuestre que el interesado ha dado su consentimiento libremente”.

En este caso, la única manera segura para la empresa es llegar a un pacto con el trabajador y financiar parte del coste que este soporta, en la línea de teléfono o en el dispositivo. Ejemplos:

  • El trabajador paga el coste de la línea de teléfono y la empresa proporciona el dispositivo.
  • La empresa paga una cantidad de entre 50 y 150 euros anuales al trabajador a cambio de que este utilice su número de teléfono y su dispositivo.
Canal de denuncias y LOPD

Canal de denuncias y LOPD

La reciente publicación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, ha suscitado algunas preguntas entre nuestros clientes.

Esta ley aplica a las empresas que tengan más de 50 empleados y les obliga a establecer un canal de denuncias que garantice la privacidad y seguridad de las personas que informen sobre infracciones.

¿En qué afecta a la protección de datos si mi empresa necesita implantar un canal de denuncias?

1 Actualizar el Registro de Actividades de Tratamiento

El canal de denuncias es un tratamiento de datos específico a incluir en el Registro de Actividades de Tratamiento.

En las revisiones y auditorías anuales que realizamos a cada cliente, su consultor comprobará si la ley afecta a su empresa, y de ser así, añadirá este tratamiento a su Registro de Actividades de Tratamiento.

2 Contratos de encargado de tratamiento

Es frecuente colaborar con empresas externas para desarrollar el canal de denuncias. Por ejemplo:

  • Con una empresa especializada en Compliance penal, para que gestionen integralmente todo el proceso.
  • Con una empresa que proporciona un software como servicio para gestionar el canal.
  • Con una empresa externa para realizar las investigaciones de cada denuncia.
  • Con una empresa informática para desarrollar un canal propio

Contacta con nosotros si colaboras con cualquiera de estas empresas externas para que te preparemos el contrato de encargado de tratamiento que mejor se ajuste al servicio contratado.

3 Obligaciones en cuanto a la gestión del canal

Además de gestionar el canal de denuncias cumpliendo todos los requisitos de la Ley 2/2023, la empresa debe aplicar una serie de principios de tratamiento y medidas para garantizar la seguridad de los datos de las personas que se vean envueltas en estos procesos:

  • Minimización: Es imprescindible limitar la recopilación de datos personales únicamente a aquellos que sean estrictamente necesarios para la investigación y resolución de la denuncia. Evitar recopilar información irrelevante o excesiva que no esté directamente relacionada con el caso.
  • Confidencialidad: Mantener la denuncia y toda la información relacionada de forma estrictamente confidencial, estableciendo medidas de control de acceso que garanticen que sólo aquellas personas involucradas en el proceso de investigación tengan acceso a los datos pertinentes.
  • Conservación: Los datos personales relativos a las informaciones recibidas y a las investigaciones internas solo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con esta ley. En particular, se tendrá en cuenta lo previsto en los apartados 3 y 4 del artículo 32. En ningún caso podrán conservarse los datos por un período superior a diez años.
  • Protección física: Si se llevan a cabo tratamientos de datos en formato físico, utilizar carpetas o archivos para almacenarlas y protegerlas de pérdidas, daños o robos y si es posible, guardarlas en áreas separadas etiquetándolas con códigos para facilitar su organización y búsqueda.
  • Registros de acceso: En caso de que haya más de una persona autorizada, es aconsejable llevar un registro de accesos a las denuncias físicas que incluya información como la fecha, hora y motivo del acceso para hacer un seguimiento de quién ha consultado los registros en caso de detectarse alguna irregularidad
  • Destrucción adecuada: Establecer procedimientos claros para la destrucción segura de las denuncias físicas cuando ya no sean necesarias o cuando se cumpla el plazo de retención legal. Podéis utilizar trituradoras de papel o servicios especializados en la destrucción de documentos confidenciales para asegurar de que la información sea irreparablemente eliminada

4 Participación del DPO

Si la empresa dispone de Delegado de Protección de Datos / Data Protection Officer (DPO), éste deberá participar en la definición y puesta en marcha de este nuevo tratamiento de datos personales.

Pero si la empresa no estaba obligada a nombrar DPO, implantar un canal de denuncias tampoco obliga a nombrarlo.

El borrador que circulaba antes de la publicación en el BOE de la ley, sí incluía esta obligación. Pero la publicación definitiva de la ley, deja claro en su artículo 34 que esta obligación se limita a la Autoridad Independiente de Protección del Informante, que nombrará el Gobierno en un futuro, y a otras Autoridades Independientes que en su caso se constituyan (si las Comunidades Autónomas deciden hacerlo)

Imagen gracias a Kristina Flour

Auditor de cuentas es responsable del tratamiento

Un auditor contratado por una empresa ¿es un encargado del tratamiento o un responsable del tratamiento? ¿Qué tipo de contrato es necesario para regular la relación?

Cuando una empresa necesita la participación de un proveedor para realizar un determinado trabajo que requiere el acceso a datos personales, la regla general es que, dado que el cliente es quien determina los fines y medios del tratamiento, el proveedor debe ser considerado encargado del tratamiento.

Ahora bien. Hay ciertas excepciones: Aquellas en las que la actuación del proveedor está sometida a alguna ley que le obliga a hacerse responsable de los datos.

Un auditor puede recibir el encargo de realizar un procedimiento de comprobación, definido por la empresa, y con un alcance exclusivamente interno. En ese caso sí debería firmar un contrato de Encargado.

Pero si el auditor va a realizar una auditoría de cuentas, que tenga validez frente a terceros, su actuación está sujeta a la Ley 22/2015 de Auditoría de Cuentas.
Esta ley, por ejemplo, en su artículo 30, establece el deber de custodia de los papeles de trabajo del auditor, que constituyan las pruebas, durante cinco años.

En cambio, si se tratase de un encargado del tratamiento, la empresa que contrata al auditor podría pedirle en cualquier momento la entrega o la destrucción de la documentación que obrase en su poder. Es por ello que cuando el encargo consiste en una auditoría de cuentas, sometida a la Ley 22/2015 de Auditoría de Cuentas, el auditor es Responsable del tratamiento y no encargado.

Entrega de información al presidente de la comunidad de propietarios

Un cliente, administrador de fincas profesional, nos presenta la siguiente duda:

El presidente de una comunidad de propietarios que administra, le ha pedido que le entregue una serie de documentación con datos personales de los propietarios, y el administrador duda de si debe o no hacerlo.

Comentamos nuestro planteamiento:

En una comunidad de propietarios, el representante legal es el presidente.

El presidente ha de ser uno de los propietarios. Generalmente se nombra por turno rotatorio y por periodos cortos de tiempo (habitualmente un año).

Estas circunstancias hacen que normalmente el cargo recaiga sobre personas que carecen de la formación necesaria en gestión, administración de fincas, o protección de datos.

Por ello la sabia decisión que adoptan muchas comunidades de propietarios es contratar un administrador de fincas profesional, que se encargue de toda la gestión de la comunidad, quedando la función del presidente a la mera supervisión del trabajo realizado por el administrador.

En materia de protección de datos de carácter personal, la forma más recomendable es que el administrador sea el único encargado de tratar los datos personales de la comunidad, ya que al ser un cargo profesional y remunerado, recae exclusivamente en él la responsabilidad y el trabajo administrativo, liberando de ambos al presidente.

En algunas ocasiones, el presidente solicita al administrador datos personales que custodia el administrador.

El presidente, es un representante que actúa por delegación. La responsabilidad de sus actuaciones recae directamente sobre la comunidad (que sería la que recibiría una sanción en caso de tratamiento indebido de datos personales).

Es por ello que nuestro criterio recomendado es que ante una solicitud de documentación del presidente, el administrador actúe siguiendo los mismos principios que si la solicitud la realizase cualquier otro propietario. Ya que la responsabilidad del administrador la tiene frente a toda la asamblea de propietarios que lo nombró, no sólo ante el presidente.

El artículo 20 e) de la Ley 49/1960, de 21 de julio, de Propiedad Horizontal, dispone que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad.

Ahora bien, el acceso de los titulares (propietarios) a la información de la comunidad no es libre ni directo, tal y como explica la Agencia Española de Protección de Datos en su consulta vinculante disponible en esta URL:

https://www.aepd.es/es/preguntas-frecuentes/9-comunidades-de-propietarios/FAQ-0906-puede-tener-acceso-un-propietario-a-los-gastos-de-su-comunidad

El administrador, habitualmente solicita nuestra asistencia como empresa especializada en protección de datos, para valorar cada solicitud de información a fin de determinar si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.

En caso de que consideremos procedente proporcionar el acceso a la documentación solicitada, el receptor (presidente o propietario) deberá firmar un acuse de recibo en el que se le informe de sus obligaciones y en el que se comprometa a mantener indemne a la Comunidad en caso de incumplimiento de las mismas.

En Adelopd tenemos disponible para cada comunidad de propietarios los formatos recomendados para cada uno de estos procesos:

  • Solicitud de información.
  • Acuse de recibo de documentación

Podemos ser tus especialistas en protección de datos para administradores de fincas.