Registro de jornada con datos biométricos ¿Cómo cumplo con el RGPD?

Registro de jornada con datos biométricos ¿Cómo cumplo con el RGPD?

A partir del próximo 12 de mayo las empresas tendrán la obligación de registrar el inicio y el fin de la jornada laboral de sus trabajadores. Su incumplimiento será sancionado con multas que podrán oscilar entre los 626 euros de mínimo y 6.250 euros de máximo.

via GIPHY

 Esta obligación – entre otras-  viene introducida por el Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, publicado el pasado 12 de Marzo en el BOE.

El objetivo de esta norma es acabar con las horas “extra” sin cobrar. Según la última Encuesta de Población Activa (EPA) alrededor de 376.000 trabajadores hacen 2,96 millones de horas extra a la semana, no remuneradas, claro.

A pesar de que se trata de uno de los sistemas más rígidos y exigentes de los países con economías avanzadas – en Alemania y Bélgica no existe tal obligación – conforme al criterio asentado por Inspección de Trabajo en el año 2016, se deja a libre elección del empresario la selección del sistema de registro – manual, informático, por control remoto, huella dactilar – siempre y cuando el Inspector de Trabajo pueda comprobar:

  • Que la empresa cuenta con un sistema que registra la jornada laboral diaria de los trabajadores.
  •  Que dicho sistema permita verificar el cumplimiento efectivo de las normas laborales.

Esto siempre que no exista un Convenio Colectivo que especifique un sistema concreto de identificación.

Últimamente se han popularizado mucho los sistemas de control de acceso mediante huella dactilar – sin ir más lejos, la empresa para la que trabajo utiliza este sistema para controlar la entrada y salida de los empleados, así como las pausas para comer o para tomar el café -. De hecho, muchos gimnasios o clubs deportivos “se han subido al carro” del control de acceso mediante huella dactilar.

via GIPHY

Sin embargo, no debemos pasar por alto que la huella dactilar es un “dato biométrico”[1], calificado por el R.G.P.D como “Categoría Especial de datos personales” (Artículo 9.1 RGPD) y que requiere de una especial legitimación para su tratamiento.

De nada sirve cumplir diligentemente con el RD-L 8/2019 de 12 de marzo y ahorrarnos la “multita” – Hasta 6.250€ – si después viene la A.E.P.D con el bofetón económico – Hasta 20 millones de € o el 4% de la facturación anual de la empresa – cantidad suficiente para cerrarnos el chiringuito. Aquí os dejo la última sanción de la A.E.P.D impuesta a un gimnasio de Murcia por imponer a sus clientes el control de acceso mediante huella dactilar sin su consentimiento y sin justificar correctamente  la utilización de esta medida.

Si eres empresario, después de gastar parte del presupuesto en la instalación de un moderno sistema de identificación por huella dactilar, seguro te preguntaras…

¿Entonces esto es legal?

Tranquilo, la respuesta es SI, pero vayamos por partes.

Antes de nada, requiere de la realización de una Evaluación de Impacto de Protección de Datos (EIPD).

¿Eso qué es?

Podemos definir la EIPD como una herramienta preventiva que permite evaluar, identificar y gestionar los riesgos que devienen de un determinado tratamiento datos personales con el objetivo de salvaguardar – mediante medidas de control – los derechos y las libertades de las personas físicas.

via GIPHY

En cualquier caso, el artículo 35 R.G.P.D exige la realización de una EIPD antes de la puesta en marcha del tratamiento que implique un “alto riesgo” para los derechos y libertades de las personas físicas.

¿Qué debe de incluir obligatoriamente una EIPD?

  • Descripción del tratamiento.
  • Juicio de ponderación entre la necesidad del tratamiento y la finalidad perseguida.
  • Identificación de los riesgos existentes.
  • Medidas preventivas seleccionadas para paliar los riesgos.

¿Cuál es el objetivo de la EIPD?

El principal objetivo de la EIPD es determinar si el tratamiento de datos que está realizando la empresa es respetuoso con los derechos de sus trabajadores o si por el contrario los expone a riesgos innecesarios.

Por lo tanto, la pregunta que deberías hacerte tras la EIPD es: ¿Existe un sistema menos intrusivo que me permita controlar de manera efectiva la jornada laboral de mis trabajadores?

Sí la respuesta es sí, – Por ejemplo, máquinas de fichaje por tarjeta o pin – recomendamos evitar el sistema de fichaje por datos biométricos (lo mismo da huella digital que reconocimiento facial).

Para los que quieran profundizar un poco más sobre EIPD, aquí os facilitamos la  guía de la AEPD: https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf.

En segundo lugar, necesitamos concurra alguna de las condiciones legitimadoras del artículo 6.1 del R.G.P.D con alguna de las excepciones recogidas en el artículo 9.2 R.G.P. D – Hablamos de consentimiento explícito del artículo 9.2 a) y del contrato laboral del artículo 9.2 b) -. Así lo dice la Autoridad Catalana de Protección de Protección de Datos en su Dictamen 63/2018 sobre sistemas de control laboral basados en huella dactilar.

Recordamos que las circunstancias  del artículo 9.2 R.G.P.D no son bases legitimadoras, sino excepciones a la prohibición general que establece el artículo 9.1 R.G.P.D:

Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”

Por ejemplo, Podríamos justificar este tratamiento basándonos en el interés legítimo del artículo 6.1 f) – interés corporativo de la empresa –  y la condición 9.2 a) R.G.P.D – la obtención del consentimiento explícito por parte del trabajador.

Eso sí, el consentimiento explícito de los trabajadores plantea problemas desde dos perspectivas diferentes:

  • Desde una perspectiva jurídica, debemos de tener en cuenta que el trabajador se encuentra en una clara situación de desequilibrio con respecto el empleador. Esto podría llevar al trabajador a prestar su consentimiento por miedo a posibles amonestaciones e incluso al despido, convirtiéndolo en nulo.

Si no me crees, echa un vistazo a esta Sentencia del Tribunal Supremo:

  • Desde un punto de vista ejecutivo, el trabajador podría revocar su consentimiento – sin efectos retroactivos, claro –  llegado un determinado momento. Esto te obliga a tener preparado un sistema alternativo – que no implique tratar sus datos personales –  para controlar la jornada laboral del trabajador.

Sobre el interés legítimo, me limitaré a señalar la importancia de realizar un juicio de ponderación entre el interés legítimo de la empresa – en este caso, controlar la jornada laboral de los trabajadores – y los derechos de los trabajadores – su derecho a la protección de datos de carácter personal -.

Material recomendado:

Espero que este post os haya servido para aclarar algunas cuestiones de cara al nuevo Real Decreto-ley 8/2019, del 8 de marzo.


[1] Datos Biométricos: Son los datos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Image by Gerd Altmann from Pixabay

Deja un comentario

Información básica sobre protección de datos

  • Responsable TicsLaw .
  • Finalidad Moderar los comentarios. Responder las consultas.
  • Legitimación Tu consentimiento.
  • Destinatarios Hostalia.
  • Derechos Acceder, rectificar y suprimir los datos.
  • Información Adicional Puedes consultar la información detallada en el Aviso Legal.