La AEPD permite el uso en el registro de jornada de la huella dactilar y los datos biométricos con determinadas garantías

La AEPD permite el uso en el registro de jornada de la huella dactilar y los datos biométricos con determinadas garantías

14 mayo, 2019 0 Por Laura

DEBE EXISTIR UNA FINALIDAD LEGÍTIMA PARA EL TRATAMIENTO DE ESOS DATOS Y APLICAR LOS PRINCIPIOS DE FINALIDAD Y LEGITIMACIÓN

 

 

 

 

 

En este afán por cumplir la legalidad, los empresarios están buscando un sistema de registro de control de jornada que les ayude a cumplir dicha obligación legal y que salvaguarde con garantías los datos recogidos por los trabajadores.

En este contexto, el uso a nivel de identificación de la huella dactilar y los datos biométrico son útiles siempre que se utilicen con garantías.

Así lo manifestaba hace unos días, Mar España directora de la AEPD en un encuentro con empresarios en la CEOE.

En su intervención recordaba que en este caso concreto los empresarios tienen su base de legitimación no tanto en el consentimiento del trabajador como el propio contrato de trabajo y el que sea una obligación legal como justificaciones a su actuación, mientras que las administraciones será el cumplimiento de una misión de interés público.

La propia directora de la AEPD indicaba sobre el uso de las nuevas tecnologías en el registro de jornada de los trabajadores que puede hacerse con determinadas garantías.  

Para ello debe hacer ese tratamiento una finalidad legítima y deben aplicarse los principios de finalidad y minimización. De hecho, un dato biométrico es un dato especialmente protegido.

Sin embargo, hay dos referencias recientes que autorizan el uso y tratamiento de dichos datos biométricos.

Hay que señalar que la huella dactilar es un dato biométrico (como el iris del ojo) y es un dato de los calificados en el Reglamento Europeo como de “categoría especial”, es decir una protección más intensa (otros ejemplos son datos como la ideología política, la orientación sexual, o datos de salud).

La primera de ellas es un dictamen del que fuera Grupo del Artículo 29, reunión de reguladores de protección de datos, ahora llamado tras la entrada en vigor del RGPD, Comité Europeo de Autoridades de Protección de Datos.

Lopinión 3/2012 que establece algunas garantías como la autorización del cifrado, el almacenamiento de esos datos biométricos en un dispositivo personal pero no en un almacenamiento centralizado o en el sistema, como garantía para legitimar el control horario.

Al mismo tiempo el sistema biométrico utilizado debería tener en cuenta que la reutilización de los datos para otros fines es imposible y que se diseñen de tal forma que se pueda revocar el vínculo de identidad.

También se podrán utilizar formatos y tecnologías que impidan la conexión de base de datos biométricos y la divulgación de datos no comprobadas.

También el Gabinete Jurídico de la AEPD en su informe 65/2015 a disposición de cualquier interesado que señala que, en base a los principios de proporcionalidad y minimización, lo ideal sería que esos datos biométricos se incorporasen a una tarjeta inteligente en poder del usuario.

De ese modo para acceder a las instalaciones utilizaría la tarjeta y posicionaría su huella sobre el lector.  El sistema informático central no almacenaría el algoritmo que estaría en la tarjeta personal. 

¿Cómo legitima el empresario estos datos biométricos?

La legitimación jurídica para el empresario sería el contrato laboral y la potestad laboral de la ejecución del contrato que se encuentra en los artículos 20 y 34 del Estatuto de los Trabajadores que establece al empleador garantizar del registro de la jornada laboral-

Desde la AEPD se indica que no hace falta pedir el consentimiento al empleado para el uso del a huella dactilar, si es necesario que el empleador informe sobre el tratamiento y finalidades de ese control horario.

Sobre los usos de sistemas de geolocalización que la CEOE que se utilizan en empresas de servicios digitales o electrónicos preguntó a la AEPD, la directora de la AEPD señaló que en trabajadores que no hacen una labor tradicional es una práctica cada vez más habitual.

Aquí las bases jurídicas serían las mismas para el control horario. No haría falta pedirle consentimiento, pero si informarle y en base al principio de minimización, el control debería ser el menos intrusivo posible.

Desde la AEPD s recuerda una sentencia de la Audiencia Nacional que declara nulo el proyecto tracker de Telepizza basado en geolocalización por vulnerar principios evidentes de protección de datos.

Al mismo tiempo no se había cumplido con los deberes de información y consulta a los representantes de los trabajadores. En este caso la empresa obligaba a descargase a los trabajadores la app para estar geolocalizados en su propio móvil personal.

En cuanto a la custodia de los datos que los trabajadores desde la AEPD indican que teniendo como base el articulo 34 del Estatuto de los Trabajadores y el RDLEy 8/2019 que habla que los datos deberán guardarse durante cuatro años.

Sobre las medidas de seguridad para guardarlos se indica que habrá que valorarlas en función de cada sistema biométrico concreto, pero no puede haber una respuesta general.

Sobre a puesta de los datos de los registros horarios a disposición de los trabajadores, representantes de trabajadores e inspecciones, la AEPD recuerda que es una obligación del empleador tal y como se indica el citado RDLey

En este terreno, el papel del Delegado de Protección de Datos (DPO) respecto al registro horario, la directora señala la necesidad de revisar los artículos 38 y 39 de la nueva LOPD donde se establece y se subraya el papel de estos profesionales en este tipo de situaciones.

Puede gestionar las reclamaciones que surjan de esta actividad.

También recuerda que con la herramienta Facilita las pymes pueden afrontar como elemento de ayuda sus obligaciones en materia de privacidad.

La propia directora anunciaba una Guía de Relaciones laborales en materia de privacidad para resolver todas estas cuestiones que preocupen al empresario y que se publicará a finales de este año.

https://confilegal.com