Control biométrico vs AEPD: Sí se puede (1ª parte)
Necesidad o barbarie
1 Be yourself today: el poblema
En los últimos años la empresa española ha adoptado generalizadamente controles biométricos de entrada, y posteriormente de control de jornada.
Este tipo de tratamientos no estaba regulado por la normativa de protección de datos anterior al Reglamento General de Protección de Datos (en adelante, “RGPD”), aplicable desde mayo de 2018.
El RGPD incluyó determinados tratamientos de datos biométricos en la prohibición general de su art. 9.
La AEPD, en sucesivas resoluciones, informes y guías fue estableciendo criterios y requisitos de admisibilidad, inicialmente flexibles.
Pero la publicación en noviembre de 2023 de una nueva Guía específica sorprendió a todos endureciendo estos criterios y requisitos y creando una inédita (y polémica) situación de inseguridad.
Este texto pretende tres cosas:
· Señalar un problema en la Guía de 2023, que necesita ser gestionado.
· Focalizar el debate en la necesidad del tratamiento.
· Apuntar una salida pragmática con apoyo en un criterio del EDPB que siempre ha estado ahí.
Además, aprovechando el período de audiencia pública abierto por la AEPD, este texto será presentado como propuesta para su consideración en relación con el Plan Estratégico quinquenal.
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! Apúntate!
2 La confusión generalizada en la interpretación de lo que es “dato” y “tratamiento” biométrico prohibido
El art. 9.1. del RGPD establece:
“Quedan prohibidos el tratamiento de (…) datos biométricos dirigidos a identificar de manera unívoca a una persona física (…)”
Desde la publicación del RGPD, se han sucedido distintas interpretaciones antitéticas sobre lo que se considera o no dato biométrico y, sobre todo, tratamiento prohibido de datos biométricos.
2.1 “Tú también, Bruto”
Ni siquiera el EDPB está libre de pecado. El mismísimo sanedrín de la protección de datos se hizo la picha un lío en las directrices sobre asistentes de voz de 2021.
En un lugar se dice:
“The EDPB recalls that voice data is inherently biometric personal data.”
… y más adelante se reconoce literalmente lo contrario:
“GDPR considers that the mere nature of data is not always sufficient to determine if it qualifies as special categories of data since “the processing of photographs […] are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person.” (recital 51) The same reasoning applies to voice.” (El subrayado es mío).
2.2 Entonces…¿Puede explicarme que demonios está prohibido exactamente?
El tratamiento de los datos de salud o de orientación sexual está prohibido, con abstracción de la finalidad del tratamiento.
En esos casos, por abreviar, sí podría hablarse de “datos prohibidos”.
Sin embargo, no existen en rigor “datos biométricos prohibidos”: lo que el RGPD prohíbe es el tratamiento de datos biométricos con la finalidad de identificar de forma unívoca a su titular.
En resumen, el tratamiento de datos biométricos sólo estará prohibido cuando concurran las tres características siguientes.
De acuerdo con lo anterior, si el tratamiento de datos biométricos tiene por objeto detectar características físicas para perfilar a personas, pero sin identificarlas (su sexo, o su edad, por ejemplo), entonces existe tratamiento de datos biométricos, pero no está prohibido por el art. 9 (salvo que del tratamiento se infieren otros datos, de entre los comprendidos en el artículo 9.1 RGPD).
Dicho esto, lo normal es que, en el ámbito laboral, estos controles sí estén destinados a identificar a cada empleado, bien para franquearles acceso a las instalaciones o para registrar el principio y fin de su jornada.
3 ¿Esto siempre ha sido así?
Claro que no. De hecho, ha cambiado bastante.
3.1 The good ol´days
Desde 2019, se popularizó en toda Europa una interpretación en cuya virtud el tratamiento de datos biométricos sólo estaba prohibido si identificaba al interesado “uno frente a varios posibles candidatos” (identificación biométrica), pero no si simplemente autenticaba su identidad declarada en relación con su propio dato personal “uno frente a uno” (verificación o autenticación biométrica).
Esta interpretación se basaba en un Dictamen del EDPB del 2012, es decir, previo al RGPD.
Pero las Directrices 5/2022[2] del EDPB sobre reconocimiento facial con finalidad de law enforcement o policía, dieron un golpe de timón al anterior planteamiento:
“While both functions – authentication and identification – are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore constitute a processing of personal data, and more specifically a processing of special categories of personal data.”
3.2 La Guía sobre protección de datos en las Relaciones Laborales (2021).
La Guía de protección de datos en las relaciones laborales[3] introdujo varias novedades que facilitaron la introducción de tratamientos biométricos:
1. La mencionada distinción entre autenticación e identificación, dejando la primera fuera del ámbito de prohibición del art. 9 RGPD, en línea con la interpretación dominante en aquel momento en la Unión Europea.
2. La admisión de la legitimación de los controles -en general- sobre los trabajadores, con base en art 20.3 del Estatuto de los Trabajadores (potestad de control del empresario) y su incorporación al haz de obligaciones que integran el contrato laboral. (es decir, se acepta en principio la base contractual del art 6.1.c) RGPD[4]). Esta vía era notoriamente más simple y conveniente para la empresa que la del interés legítimo.
3. La AEPD admitió la obligación legal de controlar la jornada laboral como subsumible en el art. 9.2.b) RGPD en relación con la habilitación del control biométrico de jornada.
4. La AEPD admitió, por último, la previsión de este tipo de controles en convenio colectivo como alternativa dentro de la base de “obligación legal”.
3.3 La guía sobre tratamientos de control de presencia mediante sistemas biométricos de 2023
En corto: la Guía de 2023 no se conformó con cambiar de criterio sobre todas las novedades posibilistas del 2021: además, cuestionó la viabilidad del consentimiento como última ratio. Y la cuestionó en abstracto, es decir, en cualquier caso.
La AEPD en su guía de 2023 sostiene que:
1. El tratamiento de datos biométricos es subsumible en la prohibición del art. 9.1 tanto si su finalidad es de “autenticación”, como de “identificación”.
Este cambio no cogió por sorpresa a casi nadie, la AEPD simplemente asumió el cambio de criterio publicado por el EDPB en la versión definitiva de sus Directrices 5/2022 del EDPB sobre reconocimiento facial con finalidad de law enforcement[5] o policía mencionado anteriormente[6].
2. La “obligación legal” puede funcionar como base general del art. 6, pero no como excepción del 9.2 RGPD, porque el Estatuto de los Trabajadores obliga a controlar, sí, pero no específicamente a que el control impuesto sea biométrico.
Este cambio de criterio tampoco sorprendió a casi nadie. Entendemos que procede de sentencias como la del TJUE C-205/21 (26-1-2023). Esta sentencia examina y aplica no el RGPD, sino la Directiva 2016/680 (la Law Enforcement Directive) sobre derecho búlgaro.
128.- “(…) la normativa nacional que establece la recogida sistemática de datos biométricos y genéticos de cualquier persona investigada por un delito público doloso es, en principio, contraria al requisito establecido en el artículo 10 de la Directiva 2016/680, según el cual el tratamiento de las categorías especiales de datos a las que se refiere ese artículo «solo» se permitirá «cuando sea estrictamente necesario».[7]
3. El contrato laboral no sirve como base legal de tratamiento porque, previamente, el control de acceso biométrico no cumple el principio de proporcionalidad (bajo la idea de que históricamente ha habido medios igualmente eficaces para la misma finalidad, pero menos intrusivos en términos de privacidad, de modo que la biometría no es estrictamente necesaria).
4. El punto más polémico: la vía del consentimiento se cierra totalmente en la práctica merced a la siguiente argumentación en tres pasos planteada por la AEPD:
(i) El consentimiento explícito añadido al contrato para legitimar el tratamiento biométrico tiene que ser libre;
(ii) El consentimiento del trabajador, cuya libertad es especialmente problemática de probar, requiere por esa misma razón como condición necesaria previa, ofrecer una alternativa funcional u operativa.
(iii) Pues bien, de acuerdo con la AEPD, si existe una alternativa viable (y no biométrica) al control biométrico, mal se puede defender su “proporcionalidad”, o directamente su necesidad en sentido estricto.
5. Por último, se mantiene operativa la vía del convenio colectivo, pero “reforzada” ahora con nuevos requisitos: la previsión del control biométrico en el convenio debe prever expresamente los supuestos y garantías aplicables al tratamiento.
Miniconclusión: cuento todo este rollo para poner en perspectiva la situación creada: los especialistas en privacidad esperábamos en otoño de 2023 varios de esos cambios de criterio, porque estábamos al tanto de los antecedentes.
Pero la polémica “argumentación en tres pasos” sobre el consentimiento pilló a todo el mundo por sorpresa.
Y generó una situación de incertidumbre, inmerecida, para aquellas organizaciones que sí habían instalado controles biométricos en respuesta a necesidades objetivas.
De pronto, estaban en situación de ilegalidad, sin una vía clara de legalización de sus tratamientos.
Porque la clave que permite clarificar todo este embrollo es esa: la necesidad objetiva.
La segunda parte de este post, en este enlace:
Jorge García Herrero
Delegado de Protección de Datos
[1] Estos datos (pueden ser datos personales o no, biométricos o no, dependiendo de su concreta capacidad para vincularlos a personas identificadas o identificables y del resto de factores que se mencionan a continuación)
[2] Publicadas en 2022 y ratificadas en su versión definitiva en mayo de 2023.
[3] https://www.aepd.es/documento/la-proteccion-de-datos-en-las-relaciones-laborales.pdf
[4] Y al cumplimiento del conocido test Barbulescu de la jurisprudencia laboral.
[5] Disponibles en el enlace siguiente: https://www.edpb.europa.eu/system/files/2024-05/edpb_guidelines_202304_frtlawenforcement_v2_es.pdf
“While both functions – authentication and identification – are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore constitute a processing of personal data, and more specifically a processing of special categories of personal data.”
[6] Aunque pueda inducir a error el hecho de que la AEPD no ha revisado ni eliminado la referencia a identificación y verificación biométrica (ni el resto de novedades aquí comentadas) en su guía de relaciones laborales.
[7] De acuerdo con el apartado 130, además:
“Es cierto que dicha normativa limita el ámbito de aplicación de la recogida de datos biométricos y genéticos a las personas investigadas en la fase de instrucción de un procedimiento penal, es decir, a personas respecto de las cuales existen motivos fundados para presumir que han cometido una infracción penal, en el sentido del artículo 6, letra a), de la Directiva 2016/680. No obstante, el mero hecho de que se investigue a una persona por la comisión de un delito público doloso no puede considerarse un dato que permita presumir, por sí solo, que la recogida de sus datos biométricos y genéticos es estrictamente necesaria a la vista de los fines que persigue y habida cuenta de las vulneraciones de los derechos fundamentales, en particular, de los derechos al respeto de la vida privada y de protección de los datos personales garantizados por los artículos 7 y 8 de la Carta, que de ella se derivan.”