Sistemas biométricos para fichar en el trabajo: ¿son legales?

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una nueva guía sobre el uso de sistemas biométricos para el control de presencia laboral, que presenta importantes cambios de criterios que pueden afectar fuertemente a las empresas y organizaciones que actualmente utilizan este tipo de sistemas para registrar la jornada de los trabajadores.

Antes de la publicación de esta nueva guía, la AEPD consideraba que los sistemas biométricos solo servían para verificar/autenticar a personas ya identificadas, lo que no implicaba un tratamiento de datos biométricos. Esta interpretación facilitó el uso de tecnologías biométricas en el control de presencia de los empleados. Sin embargo, una actualización de las Directrices del European Data Protection Board (EDPB) en 2023 redefinió el uso del reconocimiento facial, considerándolo como tratamiento de datos biométricos, lo que obligó a la AEPD a revisar su enfoque.

La AEPD entra en detalle sobre la posibilidad de tratar datos biométricos bajo el Reglamento General de Protección de Datos (RGPD), considerando la legislación laboral y de seguridad social, y señala que la legislación española actual no contempla el uso de datos biométricos para el control horario, aunque podría permitirse en el marco de un convenio colectivo que respete los derechos fundamentales y los intereses del interesado.

En el ámbito laboral, la AEPD enfatiza que el consentimiento otorgado por los trabajadores debe ser una decisión libre y sin consecuencias adversas para ellos, y advierte, y este punto es clave. que si existen opciones menos intrusivas, el uso de sistemas biométricos deja de ser necesario. De hecho, la agencia recuerda la necesidad de realizar una Evaluación de Impacto para la Protección de Datos (EIPD) antes de implementar este tipo se sistemas, y esta evaluación debe demostrar que el tratamiento es necesario, resuelve un problema real y es proporcional. Además, deben implementarse medidas organizativas, técnicas y jurídicas para proteger los datos de los trabajadores de manera realmente efectiva.

Las empresas que usan sistemas biométricos deben reevaluar su uso bajo los nuevos criterios de la AEPD. Si se basan en el cumplimiento de una obligación legal, deben cesar el tratamiento y buscar alternativas. Si se basan en el consentimiento explícito, deben demostrar que no hay alternativas equivalentes y que el sistema pasa la EIPD y que su uso está plenamente justificado. 

Pese a que el documento concluye que, aunque las condiciones impuestas por la AEPD son más complejas, no son inalcanzables, a la práctica este cambio de criterios complica enormemente la utilización de este tipo de sistemas para el registro de la jornada laboral, ya que existen en el mercado multitud de alternativas efectivas que utilizan otras metodologías que no acarrean todos estos requisitos.

Además, la falta de un período de gracia para adaptarse a estos criterios por parte de la AEPD puede implicar riesgos legales para las empresas que no cumplan con ellos, por lo que es importante que las empresas afectadas tomen las acciones oportunas de manera inmediata.