Los sistemas de control biométrico de entrada han estado en el foco de la polémica desde que se obligó a las empresas a registrar la jornada de los empleados. Su normativa ha estado sujeta a guías, normativas e incluso leyes, que no han dejado de cambiar y complicarse desde sus inicios, creando inseguridad jurídica que puede desembocar en severas multas.
Por resumir la última polémica en cuatro palabras: si una empresa utiliza un sistema de reconocimiento de huella dactilar para fichar en la entrada o salida, estaría incumpliendo la normativa de la Agencia Española de Protección de Datos (AEPD), y la empresa podría ser sancionada porque utilizar la huella dactilar es ilegal incluso cuando el empleado ha dado su consentimiento de uso. Pero, tal y como destacan desde Audens, no siempre lo ha sido.
En julio de 2007 el Tribunal Supremo dictaba sentencia considerando que utilizar la huella dactilar para el control horario no era una medida excesiva, y el uso a esta tecnología no estaba limitado por norma alguna. En noviembre de 2012 se aplicaban cambios en el artículo 20.3 del Real Decreto Legislativo 2/2015 indican que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”. Es decir, que el empresario podía continuar usando el registro de jornada por huella dactilar de forma legal.
En 2016 se publica el Reglamento General de Protección de Datos (RGPD), y en él se incluyen los sistemas de identificación por huella dactilar y datos biométricos como “categoría especial”, diferenciando los usos de “identificación” y “autenticación”. El RGPD dice: “Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.
Esto implica que el sistema de registro de jornada por huella dactilar vendría a verificar la identidad de un empleado previamente registrado está presente, con lo cual no incurre en los supuestos de identificación sino en los de autenticación, quedando fuera de “categoría especial”. Por lo tanto, en este supuesto, el registro por huella dactilar todavía se ajusta a la doctrina del Tribunal Supremo y mantiene su legalidad.
En abril de 2023, el Comité Europeo de Protección de Datos confirmó unas directrices que tiraban por tierra las instrucciones del Tribunal Supremo y de la Agencia Española de Protección de Datos. En estas directrices se unifica el criterio de Autenticación y e Identificación que la AGPD había mantenido separado metiendo a ambos en “categoría especial” para el tratamiento de datos.
El artículo 12 de esta directriz del Comité Europeo de Protección de Datos dice:” Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de información personal”.
Dado ese cambio de criterio entre Autenticación e Identificación, la AGPD se ha visto forzada a cambiar sus directivas y ha publicado una Guía sobre tratamientos de control de presencia mediante sistemas biométricos.
En esta guía ya se especifica el carácter de “categoría especial” para este tipo de uso de los datos biométricos, y en sus artículos IV y V se desvincula a esa forma de control de acceso su carácter “necesario” que obliga el RGPD y deja patente que es imposible superar el requisito de necesidad establecido para realizar estos tratamientos, aun contando con el consentimiento de los trabajadores. Al no poder cumplir estos criterios, el reconocimiento de huella dactilar o facial queda declarado prohibido con carácter general, salvo en los escasos supuestos recogidos en el artículo 9 del RGPD (interés público, sanitario, de seguridad pública, etc.).
Con la nueva interpretación de la AEPD, debe sustituirse un sistema de registro de huella dactilar o por reconocimiento facial por una persona que controle y verifique el acceso o cualquier otro sistema de que no implique el uso de sus datos biométricos. Su aplicación es inmediata, por lo que cualquier empresa que utilice este sistema de reconocimiento biométrico en 2023 puede ser sancionada por la AEPD, sin importar que cuando se instalara dicho sistema fuera legal.
Imagen | Pexels (panumas nikhomkhai)
Ver 51 comentarios
51 comentarios
silverium
Y de nuevo, una nueva medida que deshace los esfuerzos de adaptación de las empresas a las leyes vigentes.
Recordemos casos tan dispares como:
- Los bares/restaurantes podían tener una zona de fumadores pero debía de estar aislada del resto del establecimiento. Un par de años después prohibieron fumar dentro. Y empezó "la era de las terrazas"
- Los establecimientos deben usar puertas de apertura y cierre automatizado, o mantener la puerta cerrada (para ahorrar climatización... dicen)
- Las mascarillas y medidas COVID ya tal
el.conejo
LA UNIÓN EUROPEA HACE TIEMPO QUE PERDIÓ EL NORTE, Y NO ME REFIERO A NORUEGA O SUECIA...
daniel3241
De alguna forma hay que controlar las horas que hace un trabajador (tanto para que no se pase de las legales como para que no le vaya a decir al jefe que ha hecho 40 cuando en realidad ha hecho 35). Controlar las horas trabajadas es de puro sentido común y hacerlo con huella es una forma fácil y barata para una empresa. Pero como en Europa hace tiempo que dejamos de usar el pensamiento lógico y sensato en pro de medidas buenistas y socialmente populares pues salen polémicas como estas.
JuanAR
Ruben: "Su normativa a estado sujeta".
Esa hache, por favor. ;)
tenguman
Bastante tonto la verdad. Para las empresas es super sencillo: simplemente dejan de usar la opción de huella y pasan a usar las tarjetas RFID o la clave. Los equipos de marcación vienen con varios sistemas de identificación, y se habilitan o deshabilitan mediante una aplicación.
El problema vendrá para el empleado, q muy probablemente tenga q pagar dicha tarjeta o al olvidarla, sufrirá un retraso en su hora de entrada.
mitxael
Por esa regla de tres, sería ilegal que los smartphones se desbloqueen con la cara o con la huella. Es exactamente el mismo supuesto.
victoriobenetton
Tan sencillo como que se fiche con contraseña o una tarjeta NFC.
No entiendo porque las empresas tienen que tener almacenados datos tan privados como una huella dactilar en sus servidores. Ese dato debería tenerlo SOLO la policía.
franciscoandrades
La sección de comentarios, una vez mas, lo mejor de este "artículo".
Samuel Gómez Arnaiz
Nosotros solitos nos ponemos piedras en el zapato.
neco9325
No entiendo como esto beneficia a la población de a pie, pero pienso en una empresa con más de 100 colaboradores, todos agolpados a las 9 de la mañana esperando turno para ser anotados en una lista de asistencia. Si es que ni en el cole...
stantley
Entonces, pagar con tarjeta, que te identifica todavía más, también debería serlo, no?
stantley
Fichar con tarjeta es lo que hace un funcionario de los juzgados de Valencia (ver reportaje) con la suya y la de sus 7 compañeros de turno.....
JGP
Lo de los temas de protección de datos ya se está yendo de madre. Cada vez es más complejo y complicado y está constantemente cambiando. Un poco de sentido común.
mutante00
Creo que de nuevo el legislador no entiende lo que legisla. Los sistemas biometricos no almacenan las huellas, las caras, los iris... pasan esta información a través de un hash y es este dato lo que se almacena. Aun pudiendo acceder a la información no se accede a una reconstrucción de la huella. De nuevo en lugar de tener un sistema "cómodo" volvemos tener que transportar elementos "más inseguros" en si mismos (perdida, compartición, duplicación...).
manzzanitaa
Todos los "empresarios" dueños de los bares que mueven a "Españia" entrando a protestar en 3, 2, 1, pidiendo mejor que los empleados-lacayos usen brazaletes por los que puedan lanzarse descargas eléctricas vía wifi cuando vean desde el sofá de casa por la camarita de Secúritas q el empleado-lacayo fichó 1 minuto tarde.
ciquitraque
Siempre me pareció el sistema más veraz junto con una tarjeta NFC o similar deberían ser obligatorios en todos los trabajos. En el sector público incluido. En mi trabajo anterior venía el jefe, pasaba la tarjeta y se quedaba el sistema bloqueado y con la PDA (si, si, PDA) veía quien estaba o debería estar en su puesto de trabajo. De las pocas cosas que me parecieron adecuadas de aquél trabajo.
Angeliito
Entiendo que esto también sería igual para cualquier tipo de registro o identificación, por ejemplo en gimnasio. ¿o tienen otro tratamiento?
ultraverse
Bienvenidos a la era del "enfoque biométrico de género"..
joseplluis_1
Conozco muy bien el tema, por un lado confunden dato biometrico con biomedico, diciendo que con la huella pueden averiguar mas de cien datos medicos. (Que me digan cuales).
Y olvidan que los sistemas de reconocimiento por huella de calidad, solo almacenan los puntos de inflexion de las lineas, finales e inicios, divergencias, y sus posiciones relativas, con ello se crea un "template" que esta encriptado, a partir de el es imposible regenerar la imagen original. No se almacena la huella solo el template.
En cambio cuando tomamos una cerveza o abrimos la puerta del auto VAMOS DEJANDO LA IMAGEN, y en este ultimo caso, consultando la matricula en DGT sabremos nombre y DNI del propietario y su huella… Prohibiran las manetas? Nos haran poner guantes y capuchas??
Y que pasa con el DNI?
Y que pasara con los fraudes en subvenciones por cursos, horas no declaradas porque alguien ficha por ellos, los compis ficharan unos por otros?
Y si, eso ocurre y demasiadas veces.
TOVI
Luego la gente pone su huella en su telefono que a saber donde acaba esa huella registrada...