La AEPD sanciona a una empresa por utilizar el reconocimiento facial en el control horario - Font Advocats
25851
post-template-default,single,single-post,postid-25851,single-format-standard,ajax_fade,page_not_loaded,,select-theme-ver-3.7,wpb-js-composer js-comp-ver-6.8.0,vc_responsive

La AEPD sanciona a una empresa por utilizar el reconocimiento facial en el control horario

El pasado 21 de julio de 2022, la Agencia Española de Protección de Datos (“AEPD”) publicó una resolución de procedimiento sancionador (PS/00218/2021), según la cual sanciona con apercibimiento a una empresa de conservación urbanística de la Comunidad de Madrid por haber instalado un sistema de reconocimiento facial para el registro diario de la jornada laboral de sus empleados, sin que tuviera legitimidad jurídica para hacerlo y sin que conste que procediera a realizar el análisis de riesgo y la evaluación de impacto necesarios.

La reclamación de los empleados tuvo origen en la propuesta de sustitución del sistema tradicional de registro de horas por medio de tarjeta magnética por la instalación de un sistema de autenticación por biometría. Según la empresa reclamada, no habría necesidad de obtener el consentimiento de los empleados, porque la legitimación para el tratamiento de estos datos se basaría en: (i) el cumplimiento de una obligación contractual, en su caso, el contrato laboral (ex art. 6.1.b) del RGPD); (ii) el cumplimiento de una obligación legal, esto es, la obligación de registrar la jornada laboral de los trabajadores (Art. 6.1.c) del RGPD); (iii) el interés legítimo de la empresa de controlar a sus trabajadores (Art.6.1.f) del RGPD), y finalmente, (iv) la necesidad de dicho control para la prestación de los servicios de interés público a cargo de la empresa (Art. 6.1.e del RGPD).

Además, la empresa justifica que el sistema biométrico no almacena imágenes de rostro o huellas, sino “meras descripciones de estos que se traducen en las tomas de varias minucias o patrones del dibujo de la huella o del rostro”. También considera que dichos datos no pueden calificarse como de categorías especiales, y, por tanto, sujetos a la prohibición general del art. 9.1. del RGPD, porque no se trata de “datos biométricos dirigidos a identificar de manera inequívoca a una persona física”.

Como en supuestos anteriores, la AEPD rechaza prima facie la premisa de que si el sistema no almacena imágenes, sino solamente “vectores” o “patrones” del rostro, estos datos no se puedan calificar como datos biométricos de categorías especiales. En primer lugar, porque la definición de “dato biométrico” por el RGPD (Art. 4.14) exige solamente que estos estén sujetos a “tratamiento técnico”, sin especificar el tipo de tratamiento excepto que sirva para identificar unívocamente a una persona. En segundo lugar, el hecho de que el sistema planteado por la empresa reclamada sólo identifique a los pertenecientes al grupo de empleadosno es razón para no considerarse dato biométrico”, ya que “técnicamente, la plantilla biométrica contra la que se coteja la muestra es el producto de una medición que identifica unívoca y únicamente al individuo”. Nada de esto es especialmente novedoso.

Principal novedad: el análisis de necesidad y proporcionalidad
La principal novedad de esta resolución reside básicamente en el hecho de que, para la AEPD, no sólo ninguna de las legitimaciones alegadas por la reclamada es procedente, sino que además sostiene que la existencia de una obligación legal de control de jornada laboral no es suficiente para justificar un tratamiento de datos personales por medios más intrusivos a la privacidad que lo estrictamente necesario. Una cosa es la necesidad legal de tratar datos personales para el control de horario, y otra distinta es el análisis de necesidad y proporcionalidad respecto el medio elegido para dicho control. El sistema de reconocimiento facial no puede ser utilizado solamente por ser más práctico o menos costoso, sino que debe ser esencial para satisfacer la necesidad del Responsable de Tratamiento. Asimismo, la pérdida de intimidad resultante de dichos métodos más intrusivos debe ser proporcional a los beneficios esperados.

Afirma la AEPD que los requisitos del artículo 9.2.c) del RGPD son cumulativos, es decir: el tratamiento de datos de categorías especiales en el ámbito de las relaciones laborales debe, al mismo tiempo, ser necesario, ser autorizado por ley del Estado Miembro o por Convenio Colectivo, y garantizar el respecto a los derechos fundamentales del sujeto: “la causa de legitimación para realizar el control horario de la jornada laboral diaria sólo alcanza la obligación de realizarla, pero no a realizarla utilizando datos biométricos, y su uso, sin causa de excepción para el tratamiento, como se ha acreditado, supone la infracción del artículo 9.2.b) del RGPD.”

La empresa reclamada fue igualmente sancionada por no haber llevado a cabo una prueba de proporcionalidad ni la evaluación de impacto del tratamiento con el fin de determinar su necesidad, siendo que dicho examen debe considerar una evaluación exhaustiva de las opciones alternativas menos intrusivas posibles. La AEPD determina que “se ha de documentar la viabilidad de otras opciones alternativas disponibles que no requieran el uso de datos especiales, comparar todas las opciones y documentar las conclusiones”. Este tipo de tratamiento requiere, igualmente, que se proceda a un análisis del “impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su objetivo”. Otra vez, la existencia de una obligación legal que implique en la necesidad de tratamiento de datos personales no exime al Responsable de Tratamiento de la obligación de disponer de una evaluación de impacto en los casos en que dicha evaluación sea exigible.

Finaliza la AEPD afirmando que “antes de implantar un sistema de RF, el responsable debe valorar si hay otro sistema menos intrusivo con el que se obtenga idéntica finalidad”.

La decisión de la AEPD no es exactamente una novedad, ya que en supuestos anteriores había rechazado la utilización de biometría para el control de acceso de funcionarios a instalaciones de la empresa o para la identificación de estudiantes en exámenes online.

La novedad en este caso se encuentra en una interpretación restrictiva de la AEPD según la cual el cumplimiento de una obligación legal no justifica la utilización de nuevas tecnologías o métodos más intrusivos sin el consentimiento válido del interesado, excepto si la propia ley que impone la obligación de tratamiento de datos lo autorice expresamente y especifique los tipos de técnicas de tratamiento permitidos, siendo exigible, además, la preparación de una evaluación de impacto detallada.