Impacte de la protecció de dades en el control horari del treballador amb l’empremta dactilar

Des del 12 de maig de 2019 ja es troba en vigor el Real Decret Llei 8/2019, de 8 de març, de mesures urgents de protecció social i de lluita contra la precarietat laboral a la jornada de treball. La norma que ha modificat l’article 34 de l’Estatut dels Treballadors ha establert l’obligatorietat d’enregistrar l’inici i finalització de la jornada de treball.

L’enregistrament de les hores de treball es pot realitzar de diferents formes, ja siguin manuals, digitals o tecnològiques. Una de les formes que es proposen és el fitxatge mitjançant l’empremta dactilar del treballador.

L’empremta dactilar, com preveu l’article 4.14 del Reglament General de Protecció de Dades (RGPD), és una dada personal obtinguda a partir d’un tractament tècnic específic, referent a les característiques físiques, fisiològiques o conductuals d’una persona física que permeten o confirmen la identificació única de l’esmentada persona. L’empremta dactilar és una categoria especial de dada personal. En aquest sentit, el tractament d’aquesta dada personal requereix no només la concurrència d’una de les bases jurídiques establertes a l’article 6 del RGPD sinó que, a més, haurà de concórrer alguna de les excepcions establertes a l’article 9.2 del RGPD. Pel que respecta a l’article 6 del RGPD, les bases jurídiques són les previstes al punt 1 lletra c) consistent en el tractament necessari pel compliment d’una obligació legal aplicable al responsable del tractament, concretament l’obligació d’enregistrar la jornada de treball del treballador. Amb relació a les excepcions previstes a l’article 9.2 del RGPD, encaixa la circumstància establerta a la lletra b) de l’esmentat punt 2 de l’article del RGPD que estableix que el tractament és necessari pel compliment d’obligacions i l’exercici de drets específics del responsable del tractament o del interessat en l’àmbit del Dret Laboral, en la mesura en que així ho autoritza el Dret de la Unió o dels Estats Membres. En consonància, no cal el consentiment del treballador per a la utilització de l’empremta dactilar del mateix per la finalitat de control horari. No obstant, sí que aplica  l’obligatorietat de facilitar al treballador la informació prevista a l’article 13 del RGPD pel que respecta al tractament d’aquesta dada personal.

Per tal d’aplicar l’empremta dactilar com control horari cal preveure l’aplicació del principi de minimització de dades previst a l’article 5.1 lletra c) del RGPD. L’esmentat principi estableix que les dades han de ser adequades, pertinents i limitades al tractament necessari en relació als fins pels quals són tractades.

L’Agència Espanyola de Protecció de Dades ha assenyalat a les seves preguntes freqüents (FAQS), de forma prèvia a l’entrada en vigor del control horari i considerant la sentència de 4 de març de 2010 de l’Audiència Nacional, que el sistema que s’utilitzi no incorpori la dada de l’empremta dactilar, sinó únicament el relacionat amb un identificador numèric obtingut a partir de la mateixa que s’emmagatzema en les targetes de proximitat dels empleats. L’Agència, en consonància amb l’esmentada sentència, aclareix que el lector generarà l’identificador número de l’empremta que ha de correspondre amb el de la targeta, entenent-se que s’ha produït l’accés al lloc de treball com a  conseqüència de la coincidència entre l’identificador generat i el que consta a l’empremta.

A diferència de l’Agència Espanyola de Protecció de Dades, l’Autoritat Catalana de Protecció de Dades va resoldre, de forma prèvia a l’entrada en vigor del control horari, al dictamen CNS 63/2018 que l’ús de l’empremta dactilar pel control horari exigeix la realització d’una avaluació d’impacte referent a la protecció de dades per aplicació del principi de minimització. En aquest sentit, a l’esmentat dictamen l’Autoritat va assenyalar que la protecció de dades des del disseny establerta a l’article 25.1 del RGPD i el principi de minimització (article 5.1 lletra c) del RGPD) obliguen a escollir la tecnologia que resulti menys intrusiva. En aquest sentit, el principi de minimització de dades comporta que si es pot aconseguir la finalitat sense tractar dades de categories especials, ha de prevaldre aquesta opció front la que utilitza la dada de categoria especial.

Es fa notar que la Commission Nationale de l’informatique et des libertés (CNIL), autoritat de control de protecció de dades francesa, i Garante per la protezione dei dati personali, l’autoritat de control italiana, no han admès la utilització de les dades biomètriques com a sistema generalitzat de control horari dels treballadors per part de l’empresari.

Si l’empresa o entitat es troba dins l’àmbit d’actuació de l’Autoritat Catalana de Protecció de Dades, per aplicació de l’article 3 de la Llei 32/2010, de l’1 d’octubre, haurà de realitzar l’avaluació d’impacte per utilitzar l’empremta dactilar del treballador pel control horari per tal d’avaluar tant la legitimitat del tractament i la seva proporcionalitat, com la determinació dels riscos existents i les mesures per mitigar-los.

Facebooktwittergoogle_pluslinkedinmail

@ Faura-Casas

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies