Los datos biométricos, tal y como los define el artículo 4.14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (“RGPD”) son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona.
En definitiva, se trata de datos que permiten la identificación o la autenticación unívocas de una persona física (huellas dactilares, la retina, el iris, los patrones faciales, etc).
Tal y como indica el propio RGPD en su artículo 9 se trata de una categoría especial de datos merecedora de una especial protección cuyo tratamiento queda prohibido salvo que se cumplan unas circunstancias especifica que el propio artículo 9 detalla en su segundo apartado.
Ahora bien, a la hora de tratar este tipo de dato las empresas se encuentra con el dilema relativo a la base jurídica del tratamiento y se preguntan: ¿habrá que recabar el consentimiento del trabajador para poder tratar su huella digital o el tratamiento se podrá fundamentar en algún interés legítimo de la empresa?
Con respecto al consentimiento del trabajador, el Grupo de Trabajo del Artículo 29 (órgano consultivo independiente de la UE en materia de protección de datos y privacidad) en su Dictamen 2/2017 sobre el tratamiento de datos en el trabajo indica que los trabajadores no pueden dar el consentimiento libremente debido a la relación de dependencia entre empresario y trabajador precisando que “Es importante señalar que, habida cuenta de la dependencia que resulta de la relación empresario/trabajador, este último rara vez está en condiciones de dar, denegar o revocar el consentimiento libremente. Salvo en situaciones excepcionales, los empresarios tendrán que basarse en otro fundamento jurídico distinto del consentimiento, como la necesidad de tratar los datos para su interés legítimo. Sin embargo, un interés legítimo en sí mismo no es suficiente para primar sobre los derechos y libertades de los trabajadores”.
Por otro lado, en relación con la posibilidad de alegar el interés legítimo resulta de interés destacar lo que indica el Dictamen 63/2018 de la Autoridad Catalana de Protección de Datos sobre sistemas de control laboral basados en huella dactilar. En este Dictamen se indica que la falta de previsión expresa de una autorización en el derecho laboral hace que puedan surgir dudas respecto a la admisibilidad de este tipo de sistemas en el ámbito laboral. En efecto, ni el artículo 20 del Estatuto de los trabajadores ni la nueva Ley de Protección de Datos admiten expresamente el tratamiento de datos biométricos tal y como parece exigir el citado artículo 9 del RGPD. En este sentido, el artículo 88 del RGPD ha establecido que los Estados miembros pueden, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y las libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular, entre otros, a efectos del cumplimiento de las obligaciones que establece la ley o el convenio colectivo, la gestión, planificación y organización del trabajo.
En todo caso, al margen del interés legítimo de la empresa, el tratamiento deberá ser necesario, tal y como exige el citado artículo 9 del RGPD y además habrá que cumplir con los principios de proporcionalidad y minimización de datos que son de obligado cumplimiento para todo tratamiento de datos. Es decir, el tratamiento de la huella dactilar debería ser necesario, en el sentido de que pueda demostrarse que no existe otra medida más moderada para la consecución del mismo propósito con igual eficacia.
Como es evidente muy a menudo esta ponderación impide llevar a cabo el tratamiento de datos biométricos en el entorno laboral. En efecto, al estar implicada una categoría especial de datos, estos sistemas suelen ser difíciles de justificar, salvo que concurran circunstancias especiales.
¿Y entonces qué? ¿Cómo podemos tratar la huella digital de un trabajador? La propia Agencia de Protección de Datos en una reciente resolución sancionadora sobre el tratamiento de la huella dactilar para acceder a las instalaciones de un gimnasio (Resolución R/00900/2018 en el marco del procedimiento PS/00002/2018, instruido por la AEPD a la entidad FITNESS MURCIA PROMOTIONS) nos da una pista al indicar que “El tratamiento del sistema de huellas para acceder a un establecimiento exige una especial atención a la proporcionalidad, no solo por el carácter excesivo en la recogida sino en la modalidad técnica para tratarlo reiteradas veces, […] El mismo objetivo podría lograrse si se estableciera un sistema de control de acceso que sin perjuicio de aplicar medidas de control biométrico, permitiera que el propio dato biométrico o el algoritmo, permaneciese bajo el control del usuario y no fuera incorporado al sistema o base de datos. De ese modo, sería posible que la verificación se llevase a cabo a partir de un dispositivo que portase el socio, de forma que el sistema únicamente almacenase la información referida al uso o no uso de accesos, sin que en ningún momento reflejase el algoritmo de la huella. Así, sería posible que la información que según el sistema descrito seria recogida y almacenada en el propio sistema que se incorporase a una tarjeta inteligente en poder del socio, que para acceder a las instalaciones, hubiera de utilizar la tarjeta y al propio tiempo posicionar su huella sobre el lector. Así se garantizaría la identificación basada en un doble aspecto: algo que el socio es: su huella que ha de implantar y algo que tiene: la tarjeta que autentica su huella que lleva el algoritmo”
Camilla Nobili, asociada de Cremades & Calvo-Sotelo