¿Es válido el registro de jornada a través de la huella dactilar o el reconocimiento facial?

El uso de tecnologías como la huella dactilar o el reconocimiento facial mediante  sistemas de inteligencia artificial (IA) es cada vez más recurrente en el ámbito de los Recursos humanos. Ambos sistemas tienen en común el uso de datos biométricos de las personas (información relativa a las características físicas de un individuo).

Entre los beneficios más destacados que se plantean para una gestión de personas   basada en el uso de datos biométricos se encuentra la mejora de la seguridad y el control de acceso a las instalaciones y los sistemas de la organización, evitando el fraude, el hurto o robo o el espionaje; así como la posibilidad de controlar de manera más eficaz la presencia a efectos de registrar la jornada laboral (obligación prevista en el Estatuto de los Trabajadores).

Junto a ciertos beneficios, el control de presencia mediante el uso de huellas dactilares y la capacidad de la IA para llevar a cabo reconocimiento facial viene generando cierta controversia, especialmente debido a su potencial para realizar una vigilancia masiva de individuos al permitir su identificación automática en entornos públicos.

La nueva guía de la AEPD

Por esta razón, la Agencia Española de Protección de Datos (AEPD) y otras autoridades en la materia vienen realizando un seguimiento de su utilización.

Sin ir más lejos, el pasado 23 de noviembre de 2023, la AEPD publicó una Guía sobre tratamientos de control de presencia mediante sistemas biométricos que recoge una serie de límites a las empresas que utilicen tanto el reconocimiento facial como la huella dactilar para el control de presencia en sus instalaciones y cuyo detalle se puede consultar en nuestro anterior Post | ¿Prohíbe la AEPD tratar datos biométricos para control de acceso?

Resumidamente:

•  Principio de minimización de datos: según la AEPD, las empresas deben tratar los datos estrictamente necesarios para el registro de jornada, valorando alternativas menos intrusivas que no sean sólo tecnológicas.
• Base legítima: en las relaciones laborales, el RGPD prohíbe el tratamiento de datos biométricos salvo cuando sea necesario para el cumplimiento de una obligación laboral prevista en una ley nacional, en el Derecho de la UE o en un convenio colectivo; o bien la persona interesada preste su consentimiento explícito.
• La AEPD considera que el Estatuto de los Trabajadores en materia de registro de jornada no es lo suficientemente específico porque no describe la aplicación y las condiciones de uso.
• Respecto al consentimiento, se exige una manifestación de voluntad libre, lo cual plantea dificultades en el marco de las relaciones laborales donde, según los Tribunales, existe un desequilibrio de poder entre empresa y persona trabajadora. Para ser considerado libre, las empresas deben ofrecer otras alternativas de menor riesgo (por ejemplo, una tarjeta de acceso).

• Evaluación de impacto: se califica de alto riesgo el tratamiento de datos biométricos para el registro de jornada por el efecto que tiene en los derechos de las personas trabajadoras. Ello obliga a las empresas a la realización de una evaluación de impacto.
• Garantías organizativas, técnicas y jurídicas: superadas las anteriores exigencias, la Guía señala una serie de medidas que, por defecto, deben poner en marcha las empresas que utilicen este tipo de sistemas.
• Uso de la Inteligencia Artificial: Si el sistema de control de presencia se implementa con técnicas de IA, deberán tenerse en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa específica.

 Algunas cuestiones controvertidas

El nuevo criterio ha generado diversas dudas entre los expertos, que seguramente sean objeto de debate en los próximos meses. A modo de ejemplo, la Guía de la AEPD no responde a cuestiones tales como si el tratamiento de datos biométricos resultaría lícito si un convenio colectivo describiera con precisión sus condiciones de uso (ni qué tipo de convenio); o si se acreditara su necesidad al haber resultado ineficaces otros sistemas alternativos.

La Guía también confronta, a priori, la interpretación que se ofrece sobre este tipo de cuestiones en algunos pronunciamientos judiciales como el del Tribunal Superior de Justicia de Madrid núm. 390/2021, de 23 abril (ECLI:ES:TSJM:2021:4077), que declaró la validez del sistema de reconocimiento facial en una empresa, o el del Tribunal Supremo de 2 de julio de 2007 (ECLI:ES:TS:2007:5200) que determinó que el establecimiento de un sistema de control horario que identificaba al personal mediante la lectura biométrica de la mano no era lesivo del derecho a la integridad física y moral de los trabajadores. Otras resoluciones judiciales de instancia han abierto la puerta a las reclamaciones de daños morales en el ámbito laboral por el tratamiento de datos biométricos con fines de registro de jornada sin respetar la normativa en la materia.

A la vista de la polémica generada, el Consejo Español para el Registro de Jornada ha emitido un comunicado en el que sostiene que el tratamiento de datos biométricos no está prohibido, dado que:

• no ha cambiado la posición de la AEPD en lo que respecta al tratamiento, a pesar de haber limitado su uso;
• la base legítima adecuada es la concurrencia de razones de interés público (no el consentimiento ni el cumplimiento de una obligación legal) porque el objetivo del registro de jornada es la protección de la salud laboral y así lo estableció la Sentencia del TJUE de 14 de mayo de 2019 (ECLI:EU:C:2019:402).

 Conclusión

En definitiva, tras la aprobación de la guía de la AEPD y los últimos pronunciamientos judiciales en materia laboral, la utilización generalizada de sistemas de huella dactilar o reconocimiento facial para el cumplimiento de la obligación de registro de jornada resulta controvertida, por lo que es imprescindible una correcta revisión de la base jurídica que justifica el tratamiento de los datos de forma individualizada.

En este contexto, ténganse en cuenta que el Parlamento Europeo y el Consejo han alcanzado recientemente un acuerdo en relación con el futuro Reglamento de la IA, cuyo texto definitivo (todavía por publicar) se someterá a votación a finales de enero de 2024, y contendrá novedades en relación con los sistemas de IA de categorización biométrica que utilicen características sensibles de datos.