Abogacía, Derecho, Derecho Laboral

¿Pueden pedirte tu huella en el acceso al centro de trabajo y controlar así tu jornada laboral?

La implantación de las nuevas tecnologías también afecta al ámbito de las relaciones laborales, al imponerse medios biométricos como medio para controlar la jornada laboral, entradas y salidas del trabajo, etc. El problema surge en cuanto a si estos medios de control incumplen la normativa de protección de datos.

Dicho esto, cabe señalar, en primer lugar, que “la huella dactilar es un dato biométrico (como el iris del ojo) y es un dato de los calificados en el Reglamento Europeo como de “categoría especial”, es decir una protección más intensa (otros ejemplos son datos como la ideología política, la orientación sexual, o datos de salud).

Cuando una empresa u organización valora la instalación de un lector de huellas en el ámbito laboral (habitualmente como medida de control de acceso o para controlar los fichajes, la hora de incorporación y salida al puesto de trabajo) necesita legitimar el tratamiento en general de datos, y específicamente, el del dato “huella dactilar”, por ser de categoría especial.

Lector de huella dactilar para entrar al gimnasio

En relación concretamente con la huella dactilar, se ha hecho muy popular la sanción impuesta por la AEPD a un gimnasio, que de la noche a la mañana impuso a sus clientes el control de acceso vía captura y lectura de la huella dactilar, sin justificar debidamente la medida. La resolución se puede consultar aquí.

En realidad, esto se veía venir, y creo que empeorará con la aplicación del reglamento. La  poca diligencia que se demuestra en muchos casos podrá traer consigo multas considerables.

“No sé -ni me importa- qué parte de la huella captura ese cacharro”

“No sé dónde se almacenan las huellas. Entiendo que la empresa instaladora hace las cosas bien”.

“¿Cómo van incumplir mis nuevos cacharritos, si los veo en todos sitios?”

Por mi parte me voy a centrar en la presencia de estos cacharros en el ámbito laboral, me parece más interesante. Pero casi todo lo que viene a continuación es aplicable fuera de dicho ámbito.Consentimiento explícito

La empresa podría pedir el consentimiento “explícito” del trabajador (esta forma de consentimiento exige especiales formalidades, al autorizar datos de categoría especial). Pero como vengo insistiendo, el consentimiento del trabajador presenta problemas:

Problemas jurídicos: ese consentimiento siempre estará bajo sospecha: hay grandes posibilidades de que el trabajador se sienta presionado para prestarlo, por miedo a represalias, problemas o incluso el despido, si no lo presta.

Problemas operativos: Aun asumiendo que el consentimiento fuera válido, (y opino que lo deberíais evitar salvo necesidad imperiosa y que no haya otra manera) el consentimiento, por  definición, se puede revocar en cualquier momento.

Nada ni nadie puede impedir al trabajador revocar el consentimiento prestado en relación con este tema.

Si un grupo de trabajadores –conscientes, por ejemplo de este asunto- revocaran formalmente el consentimiento prestado en su día, tendrías que tener preparado otro sistema alternativo para controlar su “fichaje”, o renunciar a este control en relación con ellos.

Interés legítimo corporativo

Así que nos queda el interés legítimo de la empresa, allí donde sea posible.

Pero el interés legítimo exige un juicio de ponderación, un “sopesamiento” entre el interés de la empresa, en este caso, por ejemplo, en controlar el fichaje de los empleados, y los derechos de estos a que se respete su derecho a la protección de datos personales.

Uno de los pasos críticos para soportar la prevalencia del interés legítimo de la empresa es poder sostener que ese tratamiento (la captura en mayor o menor medida de la huella dactilar) es proporcional al fin perseguido (control de acceso o de fichajes).

Será necesario poder argumentar que el tratamiento es, (i) o bien el único modo de cumplir tu interés, o que (ii) el resto de las alternativas menos intrusivas –Ej: las tarjetas magnéticas o perforadas de toda la vida- no son, por alguna razón de peso, suficientes para cumplir dicho interés legítimo.

Al estar implicados datos de especial protección de los trabajadores, el resultado de esta ponderación debería ser especialmente claro y favorable al interés de la empresa.

En mi experiencia, estos sistemas son difíciles de justificar, salvo que concurran circunstancias poco comunes.

Es decir, salvo que seamos capaces de poner sobre la mesa razones de peso que acrediten que, o utilizamos el identificador dactilar, o no podremos cumplir nuestra finalidad de control, el resultado de la ponderación impedirá el tratamiento.

¿Si mi lector no guarda la huella entera, estos problemas desaparecen?

En la medida en que el Reglamento habla de datos que identifiquen a una persona, creo que guardando pocos o muchos puntos de la huella dactilar del trabajador, esos pocos o muchos puntos le tienen que identificar (si no, el sistema no funcionaría bien, no serviría para su función).

El Reglamento no exige que un sistema sea capaz de reconstruir la huella en su totalidad para considerar que trata datos biométricos.

En conclusión: el uso de este tipo de dispositivos, obligaría al responsable del tratamiento a (i) articular por escrito las razones que justifican que el tratamiento de un sistema tan “invasivo” en la privacidad de los trabajadores tenga que implantarse necesariamente (por qué no es suficiente el de tarjetas magnéticas de toda la vida).

Y en el caso de que se pudiera justificar, habría que (ii) dispensar máxima seguridad a las huellas almacenadas, para evitar incurrir en responsabilidad frente a los propios trabajadores si estos datos se vieran comprometidos”.

Por lo que se puede deducir de lo anterior, cabe señalar que la utilización de la huella dactilar del trabajador para que acceda a su puesto de trabajo y controlar su horario ha de ser autorizado por el propio trabajador y solo ha de servir a este fin, no se puede robar su huella para utilizarla para otros fines.

En segundo lugar, cabe destacar que esta forma de control de horarios surgió del Gobierno, y se ha de decir que “la idea del Gobierno con esta medida es poder beneficiar a los trabajadores y establecer una nueva herramienta que ayude tanto a los propios empleados como a los inspectores de Trabajo a controlar que, efectivamente, no se realizan más horas extra de las establecidas y que estas se recompensan como marca la ley. Pero el proyecto también deja ciertas dudas en el terreno de la protección de datos y el control personal. ¿Cómo se van a registrar estos horarios? ¿Qué pasa con la información que le doy a la empresa? ¿Debe avisarme de que me están controlando? ¿Qué tipo de sistemas son legales y cuáles no? Estas son algunas de las preguntas que todos nos hacemos después de conocer que lo del fichar va a volver a nuestro día a día.El GDPR ya está aquí: qué cambia hoy con la ley más importante de internet en décadasMaría Tejero Martín

Sergio Carrasco y Samuel Parra son dos abogados especializados en tecnología y protección de datos que explican, en conversación con Teknautas, qué trae de nuevo esta legislación y en qué nos debemos fijar como empleados para que nadie nos la cuele. Lo primero, los sistemas. La ley no especifica una lista de aparatos admitidos, pero todo apunta a que las empresas, dependiendo de su tamaño y presupuesto, apostarán por tarjetas identificativas, herramientas de biometría (huella, iris…), aplicaciones informáticas y de geolocalización o incluso algo más tradicional (el viejo papel y lápiz). Pero lo importante aquí no son los sistemas en sí, la clave está en el uso proporcional con la que se usen.

La proporcionalidad es la palabra que más repiten estos dos letrados. Es más, Samuel Parra se anima a pronosticar decenas de problemas en los tribunales relacionados con el uso abusivo de sistemas de registro en entornos de trabajo. “Los empresarios deben tener mucho cuidado con las herramientas que utilicen. No es lo mismo usar un control por huella dactilar para registrar la entrada y salida de un empleado de una central nuclear que de una ferretería. Seguramente el segundo pueda denunciar que no es una medida proporcional y la Justicia le dé la razón pues están recopilando datos innecesarios”, apunta este abogado.

Lo de las plataformas y sistemas que pueden usar los empleadores para controlar el registro de la jornada está generando mucha confusión al no existir ningún listado y por eso, hay que pensar siempre en la proporcionalidad que Parra define con el caso de un gimnasio murciano. La Agencia Española de Protección de Datos (AEPD) multó a dicho centro por obligar a sus socios a usar su huella dactilar para acceder. “Queda muy guay, pero en realidad no tiene ningún sentido, valdría de sobra con una tarjeta y es mucho menos intrusiva”.

Información, pero no consentimiento

Lo de los sistemas es todo un mundo en la nueva normativa, pero hay otros aspectos que también afectan al trabajador de forma directa, que están más claros y que es bueno tenerlos en mente. Apartados que van de la mano del GDPR europeo y la nueva Ley de Protección de Datos española y que nos sirven para saber qué va a pasar con nuestros datos personales.

“Debemos tener claro que la empresa está obligada a informar en todo momento y de forma detallada a sus empleados tanto de que el sistema se ha instalado, como de su forma de uso o de qué datos van a recopilar y cómo los van a utilizar”, explica Parra. Algo que apoya por su parte Carrasco que recuerda, además, que la nueva normativa solo establece como estrictamente obligatorio que se coloque algún tipo de herramienta que “registre el inicio y el fin de la jornada laboral y que sea totalmente seguro para evitar la modificación de cualquier dato por parte del empleador que no deje huella”.

Parra incide en la información detallada porque, contra lo que uno podría llegar a pensar, el empresario no tiene la obligación de pedir tu consentimiento expreso a la hora de poner a funcionar dicha herramienta. Es decir, siguiendo lo establecido en la nueva Ley de Protección de Datos, la empresa deberá informar claramente de la instalación del sistema, de cómo va a funciona, de qué datos van a almacenar o del tiempo que los van a guardar, pero solo necesitaría tu consentimiento en el caso en el que el control sobrepasase el entorno estrictamente laboral. “Si te niegas a darles esta información, la podrían llegar a despedirte de forma procedente pues estas obligando a la compañía a no cumplir con la ley”.https://d6f9334fadb68245f15a52af37579133.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html?n=0

Vale, yo no puedo negarme, pero ¿qué pasa si la empresa no me informa debidamente? Carrasco lo explica poniendo el ejemplo del juicio de los repartidores de Telepizza con la compañía por el sistema de geolocalización que esta última colocó en sus móviles. La Audiencia Nacional acabó dando la razón a los empleados porque la empresa los controlaba sin avisarles previamente y en este caso podría ocurrir lo mismo. “Es el mismo riesgo que el de una cámara de vigilancia que tengas en la oficina. El empleado debe saber de forma transparente que estás usando dicha herramienta o sino la prueba puede considerarse ilegal”, apunta el abogado.

En cuanto al uso de los datos registrados, ambos abogados explican que nunca puede exceder el normal funcionamiento de la empresa y debe hacer un uso legítimo de los mismos. “Una empresa de reparto por ejemplo puede usar un sistema que además de registrar la hora de inicio guarde la dirección en la que se encuentra el repartidor en ese momento. Puede usar esa información para optimizar sus procesos, hacer ‘Business Intelligence’, pero sí quiere vender esos datos, o usarlos para otros fines, debe o especificarlo en la cláusula informativo que pase a los empleados o pedir el consentimiento a los mismos. Depende de la proporcionalidad”, apunta Carrasco”.

La principal conclusión es que se necesita la autorización del trabajador para obligarle a ficha con huella dactilar.

Aunque, para terminar, hay que destacar que en los tiempos de coronavirus se ha puesto de manifiesto la peligrosidad de este sistema y se ha quitado.

FUENTES:

  1. CID, GUILLERMO. Toca volver a fichar: qué sistemas puede usar tu empresa y cómo evitar que te perjudique. PERIÓDICO EL CONFIDENCIAL: https://www.elconfidencial.com/amp/tecnologia/2019-05-14/fichar-empresa-trabajador-registro-horario-datos_1998714/
  2. ELECTRIFICACIONES, CIVERA. Fichar en el trabajo es obligatorio: conoce el sistema de control de acceso por huella digital: https://www.civeraelectrificaciones.com/fichar-trabajo-es-obligatorio-conoce-sistema-control-acceso-huella-digital/
  3. GARCÍA HERRERO, JORGE. Huella Dactilar y RGPD. JORGE GARCIA HERRERO: https://jorgegarciaherrero.com/huella-dactilar-y-rgpd/
  4. LABORAL, CONTROL. Fichar en tiempos de coronavirus: sin huella y sin aglomeraciones: https://www.controllaboral.es/fichar-en-tiempos-de-coronavirus-sin-huella-y-sin-aglomeraciones/
  5. SÁNCHEZ, LUIS JAVIER. La AEPD permite el uso en el registro de jornada de la huella dactilar y los datos biométricos con determinadas garantías. CONFILEGAL: https://confilegal.com/20190514-la-aepd-permite-el-uso-en-el-registro-de-jornada-de-la-huella-dactilar-y-los-datos-biometricos-con-determinadas-garantias/amp/
  6. YOLDI, MARTA. La empresa necesita permiso del empleado para llamarle al móvil o usar su huella digital. PERIÓDICO CINCO DÍAS: https://cincodias.elpais.com/cincodias/2019/07/17/economia/1563339137_993969.amp.html

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s