En 2007 el Tribunal Supremo sentenció que usar la huella dactilar para fichar en el trabajo era legítimo. Una directiva europea cambia el criterio y ya no lo es lo que supone que las empresas deban cambiar el sistema de fichaje pudiendo en caso contrario ser sancionada con la imposición de multas pecuniarias.
En Julio de 2007 el Tribunal Supremo, dictaba Sentencia con la que se venía a determinar que el uso de la huella dactilar para controlar el horario/ registro de jornada no era una medida excesiva ni ilegal. En Noviembre de 2012 se aplicaban cambios en el artículo 20.3 del Real Decreto Legislativo 2/2015 el cual indica: “El empresario podrá adoptar las medidas que estime oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y derechos laborales”, con ello el empresario podía continuar usando el registro de jornada con la huella digital pues ello es una medida legal.
En 2016 se publica el Reglamento General de Protección de Datos (RGPD), y en él se incluyen los sistemas de identificación por huella dactilar y datos biométricos como “categoría especial”, diferenciando los usos de “identificación” y “autenticación”. El RGPD dice: “Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.
A pesar de esto este recorrido, en Abril de 2023, el Comité Europeo de Protección de Datos ha confirmado unas directrices que contradicen la Sentencia del Tribunal Supremo y los criterios de la Agencia Española de Protección de Datos. En esas directrices se unifica el criterio de Autenticación y e Identificación que la Agencia había mantenido separado metiendo a ambos en categoría especial para el tratamiento de los datos.
El artículo 12 de la directriz del Comité Europeo de Protección de Datos establece: “Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de información personal”.
A consecuencia de este cambio, la Agencia se ha visto en la obligación de cambiar sus directrices y criterios y ha publicado una Guía sobre tratamientos de control de presencia mediante sistemas biométricos.
En esta guía ya se especifica el carácter de “categoría especial” para este tipo de uso de los datos biométricos, y en sus artículos IV y V se desvincula a esa forma de control de acceso su carácter “necesario” que obliga el RGPD y deja patente que es imposible superar el requisito de necesidad establecido para realizar estos tratamientos, aun contando con el consentimiento de los trabajadores. Al no poder cumplir estos criterios, el reconocimiento de huella dactilar o facial queda declarado prohibido con carácter general, salvo en los escasos supuestos recogidos en el artículo 9 del RGPD (interés público, sanitario, de seguridad pública, etc.).
Con la nueva interpretación de la AEPD y a pesar del consentimiento que el trabajador en su momento hubiese dado, es necesario que las empresas que venían utilizando este sistema como medio de control de horario –registro de jornada deben sustituir el mismo, por algún mecanismo que no suponga el uso de datos biométricos. A este respecto la medida es de aplicación inmediata lo que supone que la sustitución del sistema debe hacerse de manera inminente puesto que la Agencia Española de Protección de Datos puede sancionar a la misma aplicando multas en el rango comprendido entre los 5.000 a 20.000 euros, con independencia de que este sistema en el momento de su implementación fuese legal.
Si necesitas asesoramiento, no dudes en ponerte en contacto con nosotros, te ayudaremos y gestionaremos todas tus dudas.
Contacta con el equipo de Madom
