El passat 21 de juliol del 2022, l’Agència Espanyola de Protecció de Dades (“AEPD”) va publicar una resolució de procediment sancionador (PS/00218/2021), segons la qual sanciona amb advertència a una empresa de conservació urbanística de la Comunitat de Madrid per haver instal·lat un sistema de reconeixement facial per al registre diari de la jornada laboral dels seus treballadors, sense que tingués legitimitat jurídica per fer-ho i sense que consti que procedís a fer l’anàlisi de risc i l’avaluació d’impacte necessaris.
La reclamació dels treballadors va tenir origen en la proposta de substitució del sistema tradicional de registre d’hores per mitjà de targeta magnètica per la instal·lació d’un sistema d’autenticació per biometria. Segons l’empresa reclamada, no caldria obtenir el consentiment dels empleats, perquè la legitimació per al tractament d’aquestes dades es basaria en: (i) el compliment d’una obligació contractual, en aquest cas, el contracte laboral (ex art. 6.1.b) del RGPD); (ii) el compliment d’una obligació legal, és a dir, l’obligació de registrar la jornada laboral dels treballadors (Art. 6.1.c) del RGPD); (iii) l’interès legítim de l’empresa de controlar els seus treballadors (Art.6.1.f) del RGPD), i finalment, (iv) la necessitat del control esmentat per a la prestació dels serveis d’interès públic a càrrec de l’empresa (Art. 6.1.e de l’RGPD).
A més, l’empresa justifica que el sistema biomètric no emmagatzema imatges de rostre o petjades, sinó “meres descripcions que es tradueixen en les preses de diverses minúcies o patrons del dibuix de la petjada o del rostre”. També considera que aquestes dades no es poden qualificar com a categories especials, i, per tant, subjectes a la prohibició general de l’art. 9.1. de l’RGPD, perquè no es tracta de “dades biomètriques adreçades a identificar de manera inequívoca una persona física”.
Com en supòsits anteriors, l’AEPD rebutja prima facie la premissa que si el sistema no emmagatzema imatges, sinó només “vectors” o “patrons” del rostre, aquestes dades no es puguin qualificar com a dades biomètriques de categories especials. En primer lloc, perquè la definició de “dada biomètrica” pel RGPD (Art. 4.14) exigeix, només, que aquestes estiguin subjectes a “tractament tècnic”, sense especificar el tipus de tractament, excepte que serveixi per a identificar unívocament una persona. En segon lloc, el fet que el sistema plantejat per l’empresa reclamada només identifiqui els pertanyents al grup de treballadors “no és raó per no considerar-se dada biomètrica”, ja que “tècnicament, la plantilla biomètrica contra la qual es confronta la mostra és el producte d’un mesurament que identifica unívocament i únicament l’individu”. Res d’això no és especialment nou.
Principal novetat: l’anàlisi de necessitat i proporcionalitat
La novetat principal d’aquesta resolució rau bàsicamente en el fet que, per a l’AEPD, no només cap de les legitimacions al·legades per la reclamada és procedent, sinó que a més sosté que l’existència d’una obligació legal de control de jornada laboral no és suficient per justificar un tractament de dades personals per mitjans més intrusius a la privadesa que allò estrictament necessari. Una cosa és la necessitat legal de tractar dades personals per al control horari, i una altra de diferent és l’anàlisi de la necessitat i proporcionalitat respecte del mitjà escollit per a aquest control. El sistema de reconeixement facial no pot ser utilitzat només perquè és més pràctic o menys costós, sinó que ha de ser essencial per satisfer la necessitat del Responsable de Tractament. Així mateix, la pèrdua d’intimitat resultant dels mètodes més intrusius esmentats ha de ser proporcional als beneficis esperats.
L’AEPD afirma que els requisits de l’article 9.2.c) del RGPD són cumulatius, és a dir: el tractament de dades de categories especials en l’àmbit de les relacions laborals ha de ser, alhora, necessari, ser autoritzat per llei de l’Estat Membre o per Conveni Col·lectiu, i garantir el respecte als drets fonamentals del subjecte: “la causa de legitimació per realitzar el control horari de la jornada laboral diària només arriba a l’obligació de realitzar-la, però no a realitzar-la utilitzant dades biomètriques, i el seu ús, sense causa d’excepció per al tractament, com s’ha acreditat, suposa la infracció de l’article 9.2.b) del RGPD.”
L’empresa reclamada va ser igualment sancionada per no haver dut a terme una prova de proporcionalitat ni l’avaluació d’impacte del tractament per tal de determinar-ne la necessitat, i aquest examen ha de considerar una avaluació exhaustiva de les opcions alternatives menys intrusives possibles. L’AEPD determina que “s’ha de documentar la viabilitat d’altres opcions alternatives disponibles que no requereixin l’ús de dades especials, comparar totes les opcions i documentar-ne les conclusions“. Aquest tipus de tractament requereix, igualment, que es procedeixi a una anàlisi de l’“impacte en els drets i llibertats fonamentals i considerar mitjans menys intrusius per assolir el seu objectiu”. Una altra vegada, l’existència d’una obligació legal que impliqui la necessitat de tractament de dades personals no eximeix el Responsable de Tractament de l’obligació de disposar d’una avaluació d’impacte en els casos en què aquesta avaluació sigui exigible.
Finalitza l’AEPD afirmant que “abans d’implantar un sistema de RF, el responsable ha de valorar si hi ha un altre sistema menys intrusiu amb què s’obtingui idèntica finalitat“.
La decisió de l’AEPD no és exactament una novetat, ja que en supòsits anteriors havia rebutjat la utilització de biometria per al control d’accés de funcionaris a instal·lacions de l’empresa o per a la identificació d’estudiants en exàmens online.
La novetat en aquest cas es troba en una interpretació restrictiva de l’AEPD segons la qual el compliment d’una obligació legal no justifica la utilització de noves tecnologies o mètodes més intrusius sense el vàlid consentiment de l’interessat, excepte si la llei que imposa l’obligació de tractament de dades ho autoritzi expressament i especifiqui els tipus de tècniques de tractament permesos, essent exigible, a més, la preparació d’una avaluació d’impacte detallada.
