Reconocimiento facial para controlar la presencialidad laboral

La Autoridad Catalana de Protección de datos (APDCAT) ha dado respuesta a la consulta planteada por un Ayuntamiento, sobre la posibilidad de instalar un sistema de control de presencia en el lugar de trabajo mediante reconocimiento facial. En dicha consulta, se planteaban, entre otras cuestiones, qué tratamiento debía dar el ente local a los datos de reconocimiento facial para el correcto funcionamiento de la aplicación y cuáles eran los pasos a seguir para implementarlo.

En primer lugar, la APDCAT destaca que el tratamiento de datos personales a partir de mecanismos automatizados con el objetivo de confirmar la identificación única de una persona mediante el uso de datos biométricos, como la imagen facial, está sometido a las previsiones del artículo 9 del Reglamento General de Protección de Datos (RGPD) que regula cuestiones relativas al tratamiento de categorías especiales de datos.

Seguidamente, la APDCAT indica que el tratamiento de datos pretendido por el Ayuntamiento podría realizarse sobre la base del artículo 6.1(b) del RGPD (esto es, cuando “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”) o bien, indica la APDCAT, que también podría estar legitimado dicho tratamiento sobre la base del artículo 6.1(c) del RGPD, cuando “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.

Ahora bien, el tratamiento de datos biométricos con la finalidad de identificar de forma inequívoca a una persona requiere que, aparte de una base jurídica del artículo 6, concurra también alguna de las excepciones reguladas en el artículo 9.2 del RGPD. En particular, hay que analizar el supuesto regulado en el apartado (b) del citado artículo, el cual indica que se podrán tratar categorías especiales de datos personales cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado […]”. Asimismo, para que pueda ser de aplicación este artículo, deberá ser necesario que el tratamiento lo autorice el Derecho de la Unión o de los estados miembros o un convenio colectivo.

En este sentido, el Estatuto de los Trabajadores (“ET”) prevé la posibilidad de que el empresario adopte medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de sus trabajadores (artículo 20.3 del ET). Para el caso del control de la jornada, la norma establece la necesidad de elaborar un registro diario de las jornadas (artículo 34.9 del ET). No obstante, la normativa no determina el mecanismo específico a utilizar para el registro de la jornada, ni prevé ninguna autorización expresa para el uso de categorías especiales de datos y, concretamente, de datos biométricos.

Teniendo en cuenta lo anterior y ante la falta de previsibilidad en la norma, no parece que el tratamiento de control horario mediante el reconocimiento facial se pueda basar en una norma de rango de ley, de conformidad con la previsión incluida en el citado artículo 9.2(b) del RGPD. En este punto, la APDCAT trae a colación la sentencia 76/2019 del Tribunal Constitucional, de 22 de mayo, recordando que la injerencia estatal en el ámbito de los derechos fundamentales y libertades públicas requiere una norma con rango de ley.

A falta de dicha previsión legal y teniendo en cuenta lo dispuesto en el artículo 9.2(b) del RGPD, la autorización puede estar prevista en el marco de un convenio colectivo que recoja la utilización de datos biométricos con esta finalidad y establezca garantías adecuadas. Dicho instrumento permitiría la aplicación de la exención prevista en el artículo 9.2(b) del RGPD.

Por otra parte, la APDCAT hace hincapié, nuevamente, en que el consentimiento no es una base legal idónea para el tratamiento de datos en el ámbito laboral, por la posición de desequilibrio que existe entre empleado y empleador y, en consecuencia, la imposibilidad de obtener un consentimiento realmente libre, tal y como viene regulado en el RGPD. 

Como argumento final, la APDCAT remarca que la eficacia del uso de datos biométricos para evitar la suplantación de identidad es innegable. Sin embargo, este no es el único mecanismo para evitarla, pues caben otros, p. ej., el uso de tarjetas personales, tokens o videovigilancia.

En conclusión, señala la APDCAT que para realizar tratamientos de datos biométricos para el registro de jornada sería necesario que estuviera expresamente previsto así en una ley o en un convenio colectivo aplicable. A su vez, recuerda que en todo caso, con carácter previo a la implantación de un sistema de este tipo, sería necesario realizar una evaluación del impacto sobre la protección de datos para determinar la licitud y la proporcionalidad, incluyendo un análisis sobre alternativas menos intrusivas, y el establecimiento de garantías adecuadas.