Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 19

El tratamiento de la huella digital para el control de cumplimiento de la jornada laboral48 ha sido indirectamente analizado por la Audiencia Nacional, en su SAN, de 4 de marzo de 201049, considerando que no sería preciso contar con el consentimiento de los trabajadores, sin perjuicio del ineludible cumplimiento por parte del empresario del derecho de información50.

La STS, de 2 de julio de 2007 (R.° 5017/ 2003)51, resolvió sobre los controles biométricos, y su posible efecto invasivo en la intimidad de los trabajadores. En este supuesto, el sistema de control horario a implantar consistía en la lectura biométrica de la mano por un escáner y en la transformación de su imagen tridimensional en un algoritmo, que se incorpora a una base de datos que permite su asociación con la identidad de los empleados, haciendo posible el control horario de éstos52.

El TS manifestó que este sistema no puede considerarse lesivo para el derecho a la integridad física y moral, ya que ni se sufre una injerencia no consentida, ni se genera un resultado perjudicial físico o moral para el empleado. Asimismo, la Sentencia consideró que la captación de la imagen tridimensional de la mano para poder controlar el cumplimiento del horario de trabajo no responde al patrón de intromisiones ilegítimas en la esfera de la intimidad ni tampoco en la esfera de protección de datos de carácter personal. Y es que, según el Tribunal Supremo, la finalidad del control del cumplimiento del horario es plenamente legítima, además de que los empleados están obligados a cumplir con su horario, siendo esta obligación inherente a la relación que los une con el empleador (en este caso, la Administración Autonómica). Por todo ello, no es necesario obtener previamente el consentimiento de los trabajadores. En la misma línea se pronuncia la STSJ de Islas Canarias, Las Palmas, de 29 mayo de 201253, que se remite a la meritada STS.

Por otro lado, la STSJ, de Murcia de 25 enero de 201054, consideró que los sistemas biométricos de control de acceso a las instalaciones de la empresa no revisten caracteres de intromisión ilegítima en la esfera de la intimidad pues “(…) no existe constancia de la utilización de tales datos para fines diversos y porque con ocasión de la lectura de la huella digital no se puede ver la imagen de la huella ni puede ser captada por terceros, quedando todos los datos del sistema guardados en los ordenadores de la empresa a efectos de su custodia, (…)”.

Estima el TSJ que el control de acceso a las instalaciones de la empresa constituye una finalidad legítima, concreta y que fue suficientemente puesta de manifiesto a los trabajadores y que tal medida de control, que vincula la lectura de las huellas digitales a los datos de identidad de los trabajadores existentes en la empresa, es adecuada, pertinente y no excesiva.

Por otro lado, la Sentencia señala que, aunque la medida afecte a todos los trabajadores de la empresa, no se precisa para ello acuerdo con los representantes de los trabajadores.

Por su parte, la citada SAN, de 4 de marzo de 201055, consideró que para el tratamiento de la huella digital para el control de cumplimiento de la jornada laboral no sería preciso contar con el consentimiento de los trabajadores, sin perjuicio del ineludible cumplimiento por parte del empresario del derecho de información.

En la misma línea, la SAN, de 21 de junio de 201356, consideró que no existe legitimación en el tratamiento del empresario en el caso del establecimiento de un sistema de control horario a través de la huella dactilar, si no se informa a los trabajadores.

De interés resulta el Procedimiento PS/00418/2019 de la AEPD57 en el que impuso una sanción de apercibimiento a la empresa IZENPE como consecuencia de una denuncia contra el sistema creado por aquella de identificación y reconocimiento electrónico mediante la huella digital y rasgos faciales para la identificación de los trabajadores y usuarios del Servicio Vasco de Empleo –LANBIDE–. Tal y como recoge la resolución de la Agencia, para la emisión de los medios de identificación se recaban huellas dactilares de los diez dedos de las manos, lo que se considera desproporcionado. Del mismo modo, la AEPD requiere a la entidad que mantenga el registro de una sola huella dactilar, a su elección, y que proceda a la eliminación del resto de huellas –las correspondientes a nueve dedos de las manos–.

Por otra parte, la AEPD en el Procedimiento PS/00128/2020, de 1 de marzo de 202158, analizó con detalle los tratamientos basados en la huella dactilar con fines de control de acceso y de control de la jornada laboral, fijando los requisitos que este tipo de tratamientos deben cumplir, según su criterio, para considerarlos lícitos, leales, transparentes y proporcionados. En este procedimiento la AEPD59 impuso una sanción de apercibimiento a un ayuntamiento por haber infringido el deber de información previsto en el artículo 13 RGPD respecto del tratamiento de la huella dactilar de sus empleados.

En la meritada Resolución, la AEPD identifica una serie de premisas que deben observarse en este tipo de tratamiento de datos:

– El trabajador debe ser informado sobre estos tratamientos.

– Deben respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.

– En todo caso, el tratamiento también deberá ser adecuado, pertinente y no excesivo en relación con dicha finalidad. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos.

– Uso de plantillas biométricas: Los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible. La plantilla deberá extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.

– El sistema biométrico utilizado y las medidas de seguridad elegidas deberán asegurarse de que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.

– Deberán utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.

– Los sistemas biométricos deberán diseñarse de modo que se pueda revocar el vínculo de identidad.

– Deberá optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.

– Los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.

La AEPD en el Procedimiento PS/00127/202060 impuso una sanción de apercibimiento a IBERIA ya que entendió que la instalación de un nuevo sistema de control de asistencia mediante huella dactilar había sido llevado a cabo sin informar debidamente con todas las garantías recogidas en el artículo 13 RGPD, ya que el sistema empleado para comunicar el sistema de acceso y control horario no es el más adecuado dada la calidad y especialidad de los datos tratados, “pudiendo haber llevado a cabo un mayor esfuerzo en su política de información sobre el tratamiento previsto, formulándolo de una manera mucho más detallada y completa, así como dar respuesta a cierta casuística como los casos de trabajadores que se negaran a proporcionar su huella”.

La Resolución de la AEPD tiene en cuenta para imponer el apercibimiento que la entidad aportó al procedimiento una “comunicación complementaria destinada a los empleados Nota Informativa sobre los tratamientos de datos biométricos mediante sistemas de reconocimiento de huella dactilar o de reconocimiento facial para el control de accesos, de conformidad con la normativa en materia de protección de datos y, asimismo, consta acreditado la preceptiva evaluación de impacto relativa a la protección de datos regulada en el artículo 35 del RGPD, aportando el documento correspondiente”.