El nuevo criterio de la Agencia sobre el tratamiento de control de presencia mediante sistemas biométricos

20/02/24

En este artículo analizamos la guía sobre el tratamiento de control de presencia mediante sistemas biométricos publicada por la Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos ("AEPD") ha publicado una guía sobre el tratamiento de control de presencia mediante sistemas biométricos estableciendo los criterios para la utilización de la biometría en el registro de la jornada laboral o el control de acceso con fines laborales y no laborales.

Análisis efectuado por la AEPD

En primer lugar, la AEPD, tras asumir que los datos biométricos son datos de categoría especial, centra el debate en la posibilidad de levantar la prohibición de su tratamiento, al amparo del art. 9.2 del RGPD, letras b) y a): excepción del cumplimiento de obligaciones legales y excepción del consentimiento explícito, respectivamente.

El artículo 9.2.b) del RGPD, levanta la prohibición del tratamiento de categorías especiales cuando “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.

Y al respecto, para levantar la prohibición, la AEPD analiza dos cuestiones: la previsión legal y la necesidad del tratamiento.

En cuanto a la previsión legal, la Agencia señala que la normativa legal actual en España no incluye una autorización lo suficientemente específica que justifique la necesidad de tratar datos biométricos con el propósito de llevar a cabo un control horario de la jornada laboral.

No obstante, la habilitación legal del artículo 9.2.b) del RGPD establece una alternativa, a la que ya hacía mención el Dictamen 2/2022 de la Autoridad Catalana de Protección de Datos y, citado por la propia Agencia en su guía: la previsión de dicha habilitación en el ámbito de un convenio colectivo, siempre que establezca las garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

Siguiendo con el análisis del artículo 9.2 b), la AEPD hace una interpretación, a nuestro criterio excesivamente amplia, del ejercicio que debe llevarse a cabo antes de implementar cualquier sistema, en cuanto a la necesidad de dicho tratamiento para la consecución de la finalidad pretendida, en el sentido de que no haya otro medio igual de eficaz y menos intrusivo. Ejercicio que recae en el responsable del tratamiento, que tiene la obligación de justificar por qué ya no es factible utilizar los sistemas de registro de presencia que se empleaban hasta ese momento. Además, debe fundamentar por qué el uso de otros sistemas existentes, como tarjetas, claves, sistemas contact-less, etc., que evitan el tratamiento de categorías especiales de datos, no resulta adecuado.

En definitiva, cuestiona la necesidad de la implantación del tratamiento de datos biométricos, al existir otros medios alternativos que, en ocasiones complementándose con intervención humana, puedan razonablemente lograr la finalidad pretendida, evitando que el responsable se ampare únicamente en tendencias tecnológicas.

El artículo 9.2.a) del RGPD, levanta la prohibición del tratamiento de categorías especiales cuando el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales. En este supuesto para levantar la prohibición, la AEPD, además de analizar el consentimiento en el entorno laboral, vuelve a hacer hincapié en el concepto necesidad con una interpretación restrictiva de su acepción.

De acuerdo con las Directrices 5/2020 sobre el consentimiento en el contexto del RGPD del EDPB, en general, en las relaciones laborales existe un desequilibrio de poder entre el empleado y el empleador, lo que impide que el consentimiento se otorgue de manera libre y, por lo tanto, no resulta ser una base jurídica idónea. Sin embargo, el propio EDPB deja abierta la posibilidad de que los empleadores utilicen el consentimiento como base jurídica para el tratamiento de datos de sus empleados, siempre y cuando puedan demostrar que dicho consentimiento se ha otorgado de manera libre. Así las cosas, según el EDPB, los empleados solo pueden otorgar su consentimiento libre en circunstancias excepcionales, donde la decisión de dar o no ese consentimiento no conlleve consecuencias adversas.

La Agencia asume tal criterio, al afirmar que, en situaciones donde haya opciones realmente equivalentes y disponibles para todos los trabajadores, se podría analizar la validez del consentimiento, siempre y cuando se cumplan los requisitos establecidos en el artículo 4.11 del RGPD y las demás condiciones requeridas por la normativa.

No obstante, en una suerte de exigencia de la cuadratura del círculo para la AEPD, la propia existencia de estos “tratamientos/opciones equivalentes” que impliquen menor riesgo para los derechos y libertades de las personas cuyos datos personales se van a tratar, comporta que el tratamiento de datos biométricos deja de ser necesario.

Al sostener la Agencia que de existir alternativas/opciones menos intrusivas ya no es necesario el uso de sistemas biométricos, se está asociando el término “necesidad” a la existencia de una “alternativa” o “tratamientos/opciones equivalentes”. Esto constituye un cambio, más que discutible, respecto a la práctica convencional de recoger el consentimiento proporcionando una opción en lugar de otra (por ejemplo, permitir que el empleado elija entre registrar su jornada mediante huella dactilar o código PIN/tarjeta).

Uno de los requisitos esenciales para que un consentimiento sea válido según el RGPD es que sea "libre". Y es que, según las Directrices 5/2020 sobre el consentimiento en el sentido del RGPD del EDPB, “libre” implica que “los interesados deben tener una elección y un control real”.

Es por ello que, para garantizar la existencia de un consentimiento y la viabilidad de elegir, resulta necesario ofrecer diversas opciones o alternativas al interesado. Aunque algunas de estas opciones o alternativas equivalentes pueden ser percibidas como menos intrusivas que otras (como, por ejemplo, pagar en efectivo frente al pago con tarjeta de crédito), no implicando automáticamente que las demás opciones o alternativas deban considerarse como innecesarias.

Evaluación de Impacto para la Protección de Datos (EIPD) y garantías organizativas, técnicas y jurídicas

Para concluir, la Agencia recuerda que es indispensable que, con carácter previo a cualquier decisión de implantación de un sistema de control de presencia a través de sistemas biométricos, debe realizarse una EIPD que incluya y también supere el triple juicio de idoneidad, necesidad y proporcionalidad requerido por el RGPD y también previsto por la doctrina del Tribunal Constitucional.

En su caso, superada la EIPD, así como todos los requisitos de cumplimiento de los principios generales del RGPD, la Agencia considera que como mínimo deben implementarse las siguientes medidas por defecto:

Informar a los interesados sobre el tratamiento biométrico y sus riesgos.
Utilizar cifrado para proteger la plantilla biométrica.
Implementar en el sistema la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
Implementar medios técnicos para asegurar la imposibilidad de utilizar las plantillas para cualquier otro propósito.
Imposibilitar la interconexión de bases de datos biométricos y la divulgación de datos.
Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
Aplicar la minimización de los datos biométricos recogidos.
En el caso de registro de presencia o control de acceso en el ámbito laboral, se deben recoger en los convenios colectivos el conjunto de garantías con relación a estos tratamientos.

El reciente cambio de criterio de la AEPD sorprende, especialmente por la inseguridad jurídica que podría generar al interpretar el "consentimiento" de manera diferente a otras autoridades de protección de datos, al vincular la "necesidad" con la existencia de "alternativas" o "tratamientos/opciones equivalentes". No obstante, la Agencia no impone prohibiciones; sino que detalla las condiciones para la legalidad del tratamiento biométrico en el control de presencia. Estas condiciones son más complejas que las anteriores, pero no inalcanzables.

¿Sabes si tu sistema de control de presencia mediante datos biométricos cumple con los nuevos criterios de la Agencia? ¿Has realizado una evaluación de impacto para la protección de datos antes de implantar un sistema biométrico? ¿Quieres evitar posibles sanciones o reclamaciones por el uso indebido de datos biométricos en el control de presencia de tus empleados?

Si quieres conocer las respuestas a estas y otras preguntas, no dudes en contactar con nosotros.

Artículo elaborado por Alejandra Matas Brancós, directora de Regulación Digital de PwC Tax & Legal y Samanta Murillo Geiser, manager de Regulación Digital de PwC Tax & Legal.

Contacta con nosotros

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

© 2016 - 2025 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.