Reglamento para el uso de datos biométricos para el fichaje laboral
Empieza desde hoy a cumplir con la normativa. Si quiere utilizar la huella dactilar o otro sistema de fichaje biométrico, lee este artículo y aprende como hacerlo de forma legal.
Fichaje laboral, definición y tipos
El 12 de mayo de 2019 entró en vigor el Real Decreto-ley 8/2019. Esto volvió obligatorio llevar a cabo un control del horario de los trabajadores en cada empresa. El control horario es un registro de las horas de entrada y salida de cada trabajador cada día. Esto causó que las empresas empezaran a llevarlo. Se instauraron 4 tipos principales, como se ve en la infografía.
- Papel: Este es un método con problemas por su fiabilidad a lo largo del tiempo. Esto se debe a la incapacidad de verificar los datos que se escribe en el papel. También ha visto problemas con trabajadores con la necesidad de desplazarse durante su trabajo.
- Tarjeta: Este método muy utilizado consiste en una tarjeta por empleado, que deben acercar a un lector para fichar. Este método, a diferencia del anterior, es bastante fiable. Incluso así, se sigue encontrando el problema con los empleados que deben desplazarse.
- Biométrico: Estos sistemas de fichaje consisten en el reconocimiento inequívoco de una persona por una parte de su cuerpo. Esta parte normalmente es la cara o la huella dactilar. Este método es el más seguro, ya que estos datos son únicos para cada persona. Aún así, sigue existiendo el anterior problema del desplazamiento durante el trabajo.
- Software: Este método muy utilizado, se basa en una aplicación en el ordenador, móvil o en la web para fichar. Esto aporta grandes ventajas, como movilidad para trabajadores, una buena fiabilidad, etc. De esta manera, al poder fichar desde cualquier lugar, se volvió rápidamente el método más cómodo y fiable.
Legalidad del control horario biométrico a nivel europeo
El uso de la biometría como método de fichaje ha sido prohibido en noviembre de 2023. Elcambio se debe al avance en la tecnología, que permite tomar datos biométricos sin consentimiento y con más detalle. Debido a ello, el Comité Europeo de Protección de Datos volvió ilegal el uso de datos biométricos para fichaje laboral. Esto demostró ser un importante avance en la protección de la privacidad de los trabajadores. Con esto, se obliga a las empresas a adaptarse a métodos que no requieren tantos datos sobre el trabajador.
Según la AEPD, Agencia Española de Protección de Datos, al darse los datos en un ambiente de empleado y empleador, se le podía poner presión al trabajador. Por lo tanto, no daba su consentimiento libremente para el uso de estos datos. Por esto, no debía decretarse legal el uso de esos datos.
Con el auge de la biometría como autenticación, se consideró poco seguro dar a las empresas estos datos. Esto se debe a que sería como darles acceso a todas las cuentas que utilizan este tipo de autenticación. O por lo menos, se consideraría como una vulnerabilidad en la seguridad de estas cuentas.
Las excepciones a la normativa europea
Según el artículo 9 apartado 2 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, existen 10 excepciones que podrían permitir a una organización utilizar datos personales, entre ellos, los datos biométricos. Cabe recalcar que son para el uso general de datos personales en cualquier ámbito, no solo laboral.
- El interesado dio su consentimiento de forma explícita para el tratamiento de los dichos datos. A excepción de cuando uno de los Estados miembros indique que no puede levantarse la prohibición.
- Es necesario para el cumplimiento de las obligaciones y el ejercicio de derechos específicos del responsable o del interesado. Esto es en ámbito del derecho laboral, la seguridad y la protección social. Esto siempre que esté autorizado por el Estado y los convenios. Además, se deben establecer garantías adecuadas respecto a los derechos fundamentales y de los intereses del empleado.
- Es necesario para proteger los intereses vitales del interesado o de otra persona. Se cumple siempre que el interesado no esté capacitado física o jurídicamente para dar su consentimiento.
- Es efectuado, en ámbito legítimo y con garantías, por una fundación, asociación u otro organismo sin ánimo de lucro. Además, debe ser con finalidad política, filosófica, religiosa o sindical. Esto es así siempre que el tratamiento trate exclusivamente a los miembros actuales o antiguos del organismo. También puede tratar personas que mantengan contactos regulares con ellos en relación a sus fines. Además, los datos personales no pueden comunicarse fuera de la organización sin el consentimiento del interesado.
- El tratamiento de datos personales hace referencia a datos que ya se han hecho públicos por el mismo interesado.
- Es necesario para el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en su función judicial.
- Es necesario por interés público esencial sobre la base del Derecho de la Unión o los Estados miembros. Debe ser proporcional al objetivo, respetar el derecho a la protección de datos y establecer medidas adecuadas y específicas. Esto es para proteger los intereses y derechos fundamentales del interesado.
- Es necesario para findes de medicina, evaluación de la capacidad laboral del trabajador, diagnóstico médico y otras razones médicas. Además, debe ser en virtud de un contrato con un profesional sanitario y sin perjuicios del artículo 9 apartado 3.
- Es necesario por razones de interés público en el ámbito de la salud pública. Ejemplos son la protección frente a amenazas transfronterizas graves para la salud, garantizar la calidad y seguridad de la asistencia sanitaria, los medicamentos y productos sanitarios. Esto siempre que se cumpla la base del Derecho de la Unión. Además se ha de establecer medidas adecuadas y específicas para proteger los derechos y libertades, concretamente el secreto profesional.
- Es necesario con fines de archivo de interés público, investigación científica o histórica o con fines estadísticos conformes con el artículo 89, apartado 1. Debe ser proporcional al objetivo perseguido, respetar el derecho a la protección de datos, establecer medidas adecuadas y específicas para defender los derechos e intereses del interesado.
En la excepción 8 del listado, se hace referencia al artículo 9 apartado 3. Dice que se podrá por un profesional con obligación de secreto profesional según las normas de los organismos nacionales.
En la excepción 10 se hace referencia al primer apartado del artículo 89. Dice que se estará sujeto a garantías adecuadas para los derechos y las libertades de los interesados. Estas harán que disponga de medidas técnicas y organizativas para garantizar el respeto de la minimización de datos personales. Podrán incluir la seudonimización, siempre que pueda alcanzarse mediante tratamiento ulterior que no permita la identificación de los interesados.
También cabe recalcar el apartado 4 del artículo 9. Dice que los Estados miembros podrán mantener o introducir condiciones, incluso limitaciones respecto a datos genéticos, biométricos y de salud.
Las excepciones laborales en España
Según la Guía sobre tratamientos de control de presencia mediante sistemas biométricos de la AEPD, si que existe la posibilidad de utilizar estos métodos de fichaje, siempre que se cumplan 2 características, necesidad e idoneidad.
La necesidad
Según esto, el que va a tratar estos datos personales de cada empleado debe justificar las circunstancias por las que ya no es posible utilizar los sistemas de registro de presencia que se estaban utilizando en el sitio de trabajo anteriormente. También debe justificarlo con controles de presencia de entidades equivalentes. Por otra parte, también tiene que razonar porque no son adecuados otros métodos que no traten datos de esta categoría. Como ejemplos de método, la guía da tarjetas, certificados, claves, sistemas contact-less, etc.
Si en la evaluación intervienen elementos distintos a la finalidad del tratamiento o a la protección de derechos, se tendrá que realizar una exhaustiva evaluación de la proporcionalidad del tratamiento. Algún ejemplo de otros elementos son condicionantes económicos, de empleo, de técnicas de mercado o la posibilidad de conseguir el consentimiento para tratamientos adicionales.
En conclusión, los datos personales, en este caso biométricos, sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Se señala que debe realizarse un análisis previo sobre la necesidad de dicho método para demostrar de forma objetiva y realista que no haya otro medio igual de eficaz y menos intrusivo. Todo esto debe ser evaluado desde el Principio de protección de datos desde el diseño, focalizándose en el análisis de los derechos y libertades de las personas.
La idoneidad
Con la idoneidad se hace referencia a si la medida es susceptible de conseguir el objetivo propuesto. Es decir, para que se pueda aplicar debe de tenerse en cuenta la probabilidad de que el sistema sea eficaz para responder a la necesidad de las características específicas de la tecnología biométrica que se va a utilizar.
Para que un tratamiento se pueda considerar idóneo, ha de permitir cumplir la finalidad última del tratamiento con niveles adecuados de calidad, teniendo en cuenta que no hay tratamiento que esté libre de errores o de fraudes.
Por otra parte, hay que determinar si puede existir una falta de exactitud de los datos obtenidos con la operación biométrica al no adecuarse al tipo de humano medio o estándar según criterio del responsable.
En conclusión, para que se pueda utilizar un sistema biométrico en un ambiente laboral, ha de cumplir con los tres requisitos siguientes:
- Juicio de idoneidad: Si la medida es susceptible de conseguir el objetivo propuesto
- Juicio de necesidad: Si es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia
- Juicio de proporcionalidad: Si la necesidad es equilibrada y derivará en más beneficios y ventajas para el interés general que prejuicios sobre otros bienes y valores en conflicto
Soluciones a esta normativa
Para evitar ser sancionado, se ha de cambiar el método de fichaje a otro de los indicados anteriormente. Como ya se dio a entender en esta, la mejor opción suele ser el software. Esto es porque permite una facilidad y seguridad que no ofrecen los otros métodos.
Nosotros recomendamos como software de control horario SBS Presencia. Este es un potente software para el fichaje laboral y la digitalización de recursos humanos. Es un software que nunca deja de actualizarse y mejorar para facilitar más a las empresas que lo utilizan. Facilitan la gestión de muchos negocios con la seguridad de su aplicación, su fácil uso y las funcionalidades con las que cuenta.