menu MENÚ
MALDITA TECNOLOGÍA

¿Puede mi empresa obligarme a usar la huella dactilar para fichar? Preguntas y respuestas sobre el uso de datos biométricos en el control horario del trabajo

Publicado
Claves
  • La Agencia Española de Protección de Datos ha cambiado su criterio sobre el uso de cierta información personal para el control horario, como la huella dactilar
  • Desde el 23 de noviembre está prohibido que nuestra empresa nos obligue a fichar con nuestra huella o a través del reconocimiento facial, salvo algunas excepciones
  • Esta restricción se aplica también a entornos no laborables, como gimnasios o universidades
Comparte
Etiquetas

Sistemas como el reconocimiento facial o lectores de huella dactilar nos permiten autenticar nuestra identidad con un simple gesto para desbloquear el móvil o prescindir de una identificación para entrar a algún recinto (¡adiós a olvidarse la tarjeta!), aunque también hay riesgos en facilitar nuestros datos biométricos. Hasta ahora estos mecanismos se podían utilizar en el ambiente laboral para fichar nuestra llegada y salida del trabajo, pero desde el 23 de noviembre de 2023 esto ha cambiado: la Agencia Española de Protección de Datos (AEPD) advierte de que no se pueden emplear para llevar un registro horario ni para acceder a un servicio, ya que conllevan el tratamiento de datos biométricos especialmente sensibles que no se pueden modificar

Aunque hay casos específicos en los que sí se puede usar estos mecanismos (y que tienen que estar debidamente justificados), ahora la AEPD incide en que el uso de estos sistemas tiene que ser un acto voluntario (algo que no se cumpliría en un contrato laboral por la relación desigual entre empleador y empleado) y se debe argumentar su necesidad frente a cualquier otro sistema (algo difícil teniendo en cuenta las alternativas disponibles). Explicamos por qué la identificación biométrica tiene los días contados en la mayoría de empresas y puestos de trabajo.

A un clic, ¿de qué hablamos en este tema? Pincha para ampliar

¿Cómo se podían usar hasta ahora los datos biométricos para fichar?

Los sistemas de reconocimiento facial o de la huella dactilar nos permiten fichar o acceder a un lugar con un mero gesto, como es colocar el dedo en un escáner o situarnos frente una cámara y no tener que estar pendiente de las típicas tarjetas o llaveros (algo que agradecerán los más despistados). Estas herramientas permiten identificarnos a raíz de algunos de estos rasgos y diferenciarnos de otras personas por la forma de nuestro rostro o nuestras huellas. Puede que hayas visto estos sistemas para acceder a un gimnasio o para llevar un registro de entrada en un centro de trabajo, y otros países como China ya los utilizan incluso para pagar en el supermercado.

Aunque estos gestos puedan parecer simples, detrás hay aspectos delicados porque con este tipo de sistemas entran en juego nuestros datos biométricos: información de carácter sensible porque no se puede modificar y que nos puede identificar inequívocamente. Estos datos tienen una especial protección dentro del artículo 9 del Reglamento General de Protección de Datos (RGPD). Una protección que se aplica en multitud de casos, salvo algunas excepciones.

Entre las excepciones que contemplaba la AEPD se encontraban las labores de “autenticación”, como mantener un control horario. Sin embargo, en la guía que ha publicado la AEPD el 23 de noviembre de 2023 sobre la utilización de datos biométricos para el control de presencia y acceso, la organización ha cambiado su criterio y a partir de ahora estos casos de autenticación también se engloban dentro de esta protección especial.

Es decir, que sólo se puede utilizar un escáner dactilar o el reconocimiento facial para fichar si está debidamente justificado, no hay alternativas y si se hace un estudio sobre su impacto. En resumen, se tiene que argumentar su idoneidad, necesidad y proporcionalidad. 

¿Puede mi empresa obligarme a usar el reconocimiento facial o la huella dactilar? ¿Puedo hacerlo voluntariamente?

Atendiendo a estos criterios de idoneidad, necesidad y proporcionalidad, el uso de datos biométricos para mantener un control horario en el trabajo queda restringido en la práctica. Así lo señala la AEPD en el nuevo documento que ha publicado ya que entiende que, salvo casos muy específicos que deberán estar debidamente justificados, este sistema no cumple ninguno de estos requisitos a la hora de mantener un control de nuestra jornada laboral. 

El primero es que la cesión de datos biométricos tiene que partir de un consentimiento voluntario y que en ningún momento responda a una obligación o una presión externa. La AEPD entiende que para que este consentimiento sea libre no puede haber un “desequilibrio entre el interesado y el responsable del tratamiento” como existe en la relación de empleador y empleado, por lo que no se puede obligar a hacer esta cesión de datos en base a una relación laboral. Es decir, que en nuestro trabajo no nos pueden obligar a ceder nuestra huella dactilar o someternos a un reconocimiento facial para fichar. 

Tampoco nos podrían ofrecer esta opción como una alternativa más “práctica” a otros sistemas, ya que tampoco cumpliría el requisito de necesidad. Por ejemplo, no podrían ofrecernos la opción de fichar con una tarjeta y además la opción de usar un lector dactilar por si queremos prescindir del carnet, ya que la primera opción ya es válida y mucho más garantista con nuestros datos personales, por lo que no habría “necesidad” de instalar este tipo de escáner. En resumen, ni nos pueden obligar a usar este sistema ni podemos elegirlo nosotros en caso de que quisiéramos hacerlo.

Fuente: Agencia Española de Protección de Datos. 

¿Y en otros sitios que no sea el trabajo? ¿Me pueden obligar a usar mis datos biométricos en el gimnasio?

Estas restricciones también se aplican a otros casos fuera del ámbito laboral, como pueden ser los gimnasios. Según la AEPD, en ambientes no laborales también tiene que estar debidamente justificada la necesidad de emplear datos biométricos, de modo que quede probado que no existe ninguna “alternativa”. Pero como detalla el organismo, en estos casos también existen diferentes métodos alternativos para comprobar nuestra identidad, como puede ser una identificación electrónica.

Fuente: Agencia Española de Protección de Datos.

Tampoco se pueden usar estos datos para decisiones automatizadas sin intervención humana, como puede ser el acceso a un servicio o que limite nuestra libertad de movimientos, ya que, al no haber un humano, no hay posibilidad de revertir la decisión. Por ejemplo, si nos acercamos a un gimnasio por el que ya hemos pagado y el lector de huellas no funciona correctamente y no nos deja entrar, estaría afectando a nuestro derecho de acceder a un servicio por el que ya hemos pagado. 

¿Hay excepciones? ¿En qué casos se podrá seguir fichando con un sistema biométrico?

La AEPD incide en hay excepciones para el uso de estos datos biométricos, como puede ser el interés público, sanitario o de seguridad pública, tal y como recoge la RGPD en su artículo 9. Eso sí, siempre y cuando el uso de este mecanismo esté debidamente justificado. Por ejemplo, sí que podríamos consentir la cesión de nuestros datos biométricos si queremos participar de forma voluntaria en una investigación sobre técnicas de identificación, ya que estaríamos realizando un consentimiento libre de este tratamiento. La clave aquí reside una vez más en el que es un acto voluntario, mientras que el control laboral obedece a una relación laboral y por lo tanto está sujeta a una relación desigual.

La ley incluye un supuesto escenario en el que sí se podrían utilizar datos biométricos para el registro de la jornada laboral. El artículo 9.2 B) de la protección de datos señala que se puede realizar este tratamiento cuando sea necesario “para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito del Derecho laboral y de la seguridad y protección social”, siempre y cuando haya alguna norma con rango de ley o convenio colectivo que establezca garantías adecuadas. 

Fuente: Reglamento General de Protección de Datos (RGPD).

Sin embargo, la AEPD señala que esta regulación “no se encuentra en la actual normativa legal española” y subraya que  dentro de los casos que recoge el artículo 9.2 no se encuentra el interés legítimo, la ejecución de un contrato o medidas precontractuales.

Fuente: Agencia Española de Protección de Datos. 

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.