Impacto de la protección de datos en el control horario del trabajador con la huella dactilar

Desde el 12 de mayo de 2019 ya se encuentra en vigor el Real Decreto Ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo. La norma que ha modificado el artículo 34 del Estatuto de los Trabajadores ha establecido la obligatoriedad de registrar el inicio y finalización de la jornada de trabajo.

La grabación de las horas de trabajo se puede realizar de diferentes formas, ya sean manuales, digitales o tecnológicas.
Una de las formas que se proponen es el fichaje mediante la huella dactilar del trabajador.

La huella dactilar, como prevé el artículo 04.14 del Reglamento General de Protección de Datos (RGPD), es un dato personal obtenida a partir de un tratamiento técnico específico, referente a las características físicas, fisiológicas o conductuales de una persona física que permiten o confirman la identificación única de dicha persona. La huella dactilar es una categoría especial de dato personal. En este sentido, el tratamiento de este dato personal requiere no sólo la concurrencia de una de las bases jurídicas establecidas en el artículo 6 del RGPD sino que, además, deberá concurrir alguna de las excepciones establecidas en el artículo 9.2 del RGPD. Por lo que respecta al artículo 6 del RGPD, las bases jurídicas son las previstas en el punto 1 letra c) consistente en el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, concretamente la obligación de registrar la jornada de trabajo del trabajador. Con relación a las excepciones previstas en el artículo 9.2 del RGPD, encaja la circunstancia establecida en la letra b) de dicho punto 2 del artículo del RGPD que establece que el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho Laboral, en la medida en que así lo autoriza el Derecho de la Unión o de los Estados Miembros. En consonancia, no es necesario el consentimiento del trabajador para la utilización de la huella dactilar del mismo para la finalidad de control horario. Sin embargo, sí que aplica la obligatoriedad de facilitarle la información prevista en el artículo 13 del RGPD por lo que respecta al tratamiento de este dato personal.

Para aplicar la huella dactilar como control horario hay que prever la aplicación del principio de minimización de datos previsto en el artículo 5.1 letra c) del RGPD. Dicho principio establece que los datos deben ser adecuados, pertinentes y limitadas al tratamiento necesario en relación a los fines para los que son tratadas.

La Agencia Española de Protección de Datos ha señalado a sus preguntas frecuentes (FAQS), de forma previa a la entrada en vigor del control horario y considerando la sentencia de 4 de marzo de 2010 de la Audiencia Nacional, que el sistema que se utilice no incorpore el dato de la huella dactilar, sino únicamente el relacionado con un identificador numérico obtenido a partir de la misma que se almacena en las tarjetas de proximidad de los empleados. La Agencia, en consonancia con dicha sentencia, aclara que el lector generará el identificador número de la huella que ha de corresponder con el de la tarjeta, entendiéndose que se ha producido el acceso al puesto de trabajo como consecuencia de la coincidencia entre el identificador generado y el que consta en la huella.

A diferencia de la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos resolvió, de forma previa a la entrada en vigor del control horario, el dictamen CNS 63/2018 que el uso de la huella dactilar para el control horario exige la realización de una evaluación de impacto referente a la protección de datos por aplicación del principio de minimización. En este sentido, a dicho dictamen la Autoridad señaló que la protección de datos desde el diseño establecida en el artículo 25.1 del RGPD y el principio de minimización (artículo 5.1 letra c) del RGPD) obligan a escoger la tecnología que resulte menos intrusiva. En este sentido, el principio de minimización de datos conlleva que si se puede conseguir el fin sin tratar datos de categorías especiales, debe prevalecer esta opción frente la que utiliza el dato de categoría especial.

Se hace notar que la Commission Nationale de la informatique et des Libertés (CNIL), autoridad de control de protección de datos francesa, y Garante para la protezione dei date per, la autoridad de control italiana, no han admitido la utilización de las datos biométricos como sistema generalizado de control horario de los trabajadores por parte del empresario.

Si la empresa o entidad se encuentra dentro del ámbito de actuación de la Autoridad Catalana de Protección de Datos, por aplicación del artículo 3 de la Ley32/2010, de 1 de octubre, deberá realizar la evaluación de impacto para utilizar la huella dactilar del trabajador por el control horario para evaluar tanto la legitimidad del tratamiento y su proporcionalidad, como la determinación de los riesgos existentes y las medidas para mitigarlos.

 

Facebooktwittergoogle_pluslinkedinmail

@ Faura-Casas

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies