4 Need is all you need

El problema de la argumentación de la Agencia es que su planteamiento choca con la realidad. Y la realidad es que hay situaciones que piden a gritos un control biométrico de identidad.

El RGPD está montado sobre el risk based approach y no prohíbe los tratamientos que ponen en riesgo los derechos de las personas: obliga a minimizarlo e implementar las garantías adecuadas hasta que ese riesgo resulta aceptable.

Si esto no es posible, y sólo entonces, cierra la puerta.

4.1 ¿Qué dice el TJUE sobre esto de la “necesidad”?

Para sorpresa de nadie, que “depende”.

Veamos.

A efectos de la aplicación del RGPD el TJUE define el concepto de "necesidad" como un concepto autónomo del Derecho de la UE, distinto del de los Estados miembros.

· En este sentido la añeja sentencia Lindqvist (C-101/01) de 2003. Lindqvist establece explícitamente la autonomía del concepto de necesidad en el contexto de la protección de datos y su vinculación con los objetivos de la Directiva del 95. Para equiparar el nivel de protección en todos los Estados miembros el concepto de necesidad no puede tener un contenido variable en cada uno de ellos.

Miniconclusión: con todos los respetos, excluir en abstracto o para cualquier caso, la necesidad de los controles biométricos en la empresa no parece algo que pueda o deba hacer la AEPD.

· En 2022, en el asunto (C-184/20) de nombre imposible el TJUE aplica literalmente el considerando 39 del RGPD: el requisito de la necesidad se cumple cuando el objetivo de interés general perseguido no puede alcanzarse razonablemente con igual eficacia por otros medios menos intrusivos.

· En 2023, en la ya citada “Ministerstvo na vatreshnite raboti” (C-205/21), aplicando la Directiva 2016/680, el TJUE analiza el tratamiento de categorías especiales de datos (como datos biométricos y genéticos) de modo que solo se permita "cuando sea estrictamente necesario". El carácter "estricto" de la necesidad implica que esta se valorará de un modo especialmente riguroso.

Miniconclusión: Nadie pone en duda la exigencia de un estándar más elevado de cumplimiento para el tratamiento de datos de categoría especial. Pero esta afirmación al mismo tiempo equivale a reconocer que ese tratamiento ES posible: sólo que minimizado a lo estrictamente necesario.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad de tecnología y derecho de Jorge García Herrero y Darío López Rincón. Cada semana recomendamos lecturas tan buenas como esta.

Recuerda que no recibimos un puto duro por recomendar lo que recomendamos. Sólo compartimos la misma buena mierda que nosotros intentamos consumir.

4.2 Todo eso está muy bien, pero el papel lo soporta todo, desgraciao ¿Me puedes poner un ejemplo de “necesidad objetiva” de esas?

Primero un no-ejemplo: el control de fichaje horario. Hay doscientas alternativas no biométricas para cumplir esa finalidad.

No estoy hablando aquí de eso.

El típico ejemplo manido sería el de las infraestructuras críticas como una central nuclear o una depuradora de agua, o los riesgos peliculeros tipo un laboratorio BSL (de esos donde manejan patógenos tipo ébola) o depósitos de armas.

Que nos lleva a un grasioso problema: la vía obvia de legitimación ahí sería el interés público esencial (9.2.g) RGPD), pero no me consta un solo ejemplo en el que la legislación española supere el exigente listón de concreción y garantías establecido en la STC 76/2019 para servirle de base.

Por eso prefiero apuntar ejemplos más de andar por casa, que son los que sufren el problema.

Hay empresas incluidas en cadenas de suministro con un nivel de exigencia excepcional: aguas arriba hay una empresa poderosa (o una asociación de empresas) que impone unas normas de seguridad que hay que cumplir. Si no lo haces, sales de la cadena.

En otros casos, hay puntos clave en la actividad que son objeto de ataques o sabotajes y que comprometen la actividad económica (y el interés general o la seguridad o la salud pública, dependiendo de la naturaleza de esa actividad).

Eso en mi pueblo tiene un nombre: necesidad contractual objetiva.

Esto es importante: en mi experiencia, cuando esta necesidad objetiva concurre, la cuestión es pacífica: ninguno de los interesados discute la oportunidad del control, porque el contexto no deja lugar a dudas.

Más: saliéndome por un momento del tema del control biométrico, hay trabajos que entrañan la difusión worldwide de identificadores directos, imagen y voz de quienes los desempeñan: políticos, CEOs y otros cargos con exposición pública de multinacionales, deportistas de élite, presentadores de televisión, actores, músicos, modelos, bailarines, influencers…

No hay una solución para la transferencia internacional de datos de estas personas… más allá de un consentimiento explícito (erm, general o glups, periódico o ARGK caso por caso).

La realidad de las cosas obliga a entender -como de hecho ocurre- que ciertos curros traen consigo renunciar a una parte de tu privacidad.

Estas situaciones tienen que poder encauzarse lícitamente en la normativa.

Y, por supuesto, pueden, como pasamos a ver a continuación.

5 El problema de los “tres cuerpos” de la AEPD

Al archiconocido acojone al usar el consentimiento del currela, se añade la auténtica muerte a pellizcos generada por la “argumentación en tres pasos” de la AEPD.

Afortunadamente, la argumentación en tres pasos de la AEPD es un argumento circular.

Recordemos los tres pasos:

Primero.- Cuando la finalidad del tratamiento biométrico que pretendes no encaja en ninguna otra de las excepciones del art. 9.2 RGPD, tienes que tirar por consentimiento: no hay otro camino.

¿Por qué?

Porque así lo indica sin lugar a dudas el EDPB en sus Directrices 5/2020 sobre el consentimiento (aptdo 99): tienes que ir por consentimiento explícito.

“El artículo 9, apartado 2, no reconoce la circunstancia de «necesario para la ejecución de un contrato» como una excepción a la prohibición general de tratar categorías especiales de datos. Por lo tanto, los responsables y los Estados miembros que aborden esta situación deben estudiar las excepciones específicas que figuran en el artículo 9, apartado 2, letras b) a j). En el caso de que no se aplique ninguna de las excepciones enumeradas en las letras b) a j), la única excepción lícita para procesar dichos datos es obtener el consentimiento explícito de conformidad con las condiciones para el consentimiento válido que figuran en el RGPD.”

Segundo.- El consentimiento del trabajador debe ser utilizado excepcionalmente y con exquisita prudencia. ¿Por qué? Porque su libertad está en entredicho, a dos niveles:

.- Hay un “desequilibrio claro” -considerando 43 RGPD- entre empleador y persona trabajadora.

Como dice el TS, el trabajo es un bien escaso y el trabajador tiene todos los números para prestar el consentimiento que se le solicita, vinculado a su contrato de trabajo. Y ello para evitar desde represalias explícitas o implícitas más o menos importantes, hasta el omnipresente elefante en la habitación del despido.

.- Además, el consentimiento explícito que necesita el empleador para su control biométrico queda incrustado o vinculado al contrato. Porque el contrato laboral sin el consentimiento explicito colocará al empleador en situación de incumplimiento.

Estas dos cuestiones son dos enfoques distintos sobre la misma cuestión de la libertad del consentimiento: el RGPD obliga a investigar “en la mayor medida posible” si el consentimiento del interesado que se liga a la ejecución de un contrato (o a su continuidad, porque si no consientes, te despido) es libre.

Y esto procede del 7.4 RGPD:

“Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

EL 7.4 está pensando en servicios, como el de Facebook que, para darte algo, te exigen consentir un tratamiento que no guarda relación alguna con ese algo, ni es necesario para dártelo.

La AEPD aplica el 7.4 diciendo: la empresa está en posición de predominio sobre el empleado. Y le pide un consentimiento para un control biométrico, al que condiciona la ejecución del contrato. Como las cosas se han hecho toa la vida de Dios sin controles biométricos, estos no son, en rigor, necesarios. Ergo el consentimiento sólo será libre si se ofrece una alternativa funcional no biométrica.

Desde aquí, la suerte está echada.

Tercero.- Para que el consentimiento pueda ser calificado como libre, el interesado tiene que tener una alternativa no biométrica. Si existe alternativa, dice la AEPD que tanto la necesidad como la proporcionalidad saltan por los aires. No cumpliéndose el art 5 (necesidad) no ha lugar a plantearse la licitud del tratamiento (art. 6).

Sólo que esto no es así.

Todo ese razonamiento sólo se cumple si el control no era necesario desde un principio.

5.1 ¿Dónde está el problema?

Los problemas de la argumentación de la AEPD empiezan en el segundo paso:

La cautela extrema que impone el RGPD en el uso del consentimiento del empleado al empleador y en los consentimientos vinculados a contratos trae causa, como se ha visto, del desequilibrio de fuerzas entre las partes.

Pero aquí pasan dos cosas:

1. Su uso está sujeto a cautela extrema, sí. Pero no es imposible. De otro modo se hubiera prohibido sin más, algo que no me consta. Y la AEPD pretende convertir la vía del consentimiento explícito en inaplicable en todo caso.

2. No sólo eso, sino que -interpretado a sensu contrario- el art 7.4 no es aplicable cuando el tratamiento de datos que se somete a consentimiento sí es necesario para la ejecución del contrato.

No pongas esa cara, sufrido lector: no me saco cosas como esta de la manga: esto se dice claramente en las totémicas y archisobeteadas Directrices 5/2020 sobre el consentimiento (aptdo 32):

"El apartado 4 del artículo 7 sólo es pertinente cuando los datos solicitados no son necesarios para la ejecución del contrato, (incluida la prestación de un servicio), y la ejecución de dicho contrato se supedita a la obtención de estos datos sobre la base del consentimiento. Por el contrario, si el tratamiento es necesario para la ejecución del contrato (incluida la prestación de un servicio), entonces no se aplica el apartado 4 del artículo 7." (la negrita es original del Grupo de Trabajo del 29).

Por eso la clave es que el tratamiento (el control) sí sea objetivamente necesario.

Porque entonces el 7.4 RGPD no aplica a “entre otras cosas”, el consentimiento vinculado. Y no hay que tener en cuenta al evaluar la libertad de la prestación del consentimiento, su vinculación a una ejecución del contrato.

Entre otras cosas.

5.2 ¿Y el famoso desequilibrio empleado / empresario?

El desequilibrio entre empleado y empleador existe siempre: cuando es necesario un control biométrico y cuando no lo es.

Lo que la ley -no sólo el RGPD- prohíbe es el abuso de ese desequilibrio.

Pero ese consentimiento vinculado no es un lugar idóneo porque, en este caso tiene que ir incrustado en el contrato para que su ejecución sea lícita.

Por supuesto, incumbe al empleador la carga de la prueba de que la prestación en el caso concreto requiere un control biométrico de la identidad del trabajador.

Pero repito (es la última vez): si la necesidad del tratamiento es objetiva y efectiva, Pepito el trabajador tendrá que consentir explícitamente someterse al control biométrico para realizar su prestación (la que sea) aunque mande a paseo a su empresa y se lo monte por su cuenta, sin jefes, a través de una cooperativa o una Sociedad laboral.

O como puto autónomo, vaya.

Si de verdad hay necesidad, el factor “desequilibrio” en este concreto caso pasa a ser secundario. Y por eso mismo el EDPB dice lo que dice respecto al art. 7.4 RGPD.

Unpopular opinión basada en 30 años de calle: Un control biométrico abusivo y cubierto con un consentimiento forzado del empleado estará seguramente bien acompañado de un reguero de incumplimientos al levantar alfombras.

Como hemos visto en las resoluciones impuestas por la AEPD en varios casos de incumplimiento múltiple en el último año y pico.

No es este el caso que estoy defendiendo aquí.

Mi punto es que una empresa que haga las cosas bien y tenga una necesidad objetiva de imponer un control biométrico, no debería tener mayores problemas para hacerlo.

La licitud saldrá sola: el trabajo de la evaluación de impacto estará en otro sitio.

5.3 ¿Qué pasa con el convenio colectivo?

Nótese que la via del convenio colectivo es practicable, of course, pero -desde el estricto punto de vista de la necesidad- es más imperfecta, entre otras razones, porque el convenio afecta a todos los trabajadores en su ámbito de aplicación, y la necesidad pide a gritos una aplicación minimizada en todos los niveles posibles, empezando por el número de interesados afectados.

Por otro lado, está esa tendencia a usar el convenio colectivo como milagro que convierte el agua en vino -o tratamiento necesario, para entendernos-, que ha recibido un señor portazo del TJUE en diciembre pasado.

Mucho ojo con esto.

5.4 Pero vamoh-a-ver, maldito calvo nazi fildeputa: ¿Y dónde queda la protección del desvalido trabajador si el 7.4 no aplica? ¿Cómo se evalúa su libertad entonces al prestar su consentimiento si el tratamiento es necesario?

Recordemos que muchos elementos del RGPD estaban ahí mucho antes de la aparición del tratamiento automatizado de datos.

Uno de ellos es el consentimiento.

Y sus vicios, regulados en el código civil.

Por eso, cuando eliminamos de la ecuación el “tener en cuenta en la mayor medida posible si el consentimiento está vinculado a la ejecución del contrato para evaluar la libertad en su otorgamiento” -porque el tratamiento es necesario-, no estamos dejando al empleado a merced de una bestia asesina: habrá que excluir los vicios generales del consentimiento (error sobre el objeto, la persona o la causa) o de la voluntad (violencia, intimidación) prevenidos en derecho civil general.

Algo que debe hacerse en cualquier caso.

.- ¿El consentimiento ha sido prestado bajo intimidación o violencia?

.- ¿Se ha prestado sobre el objeto correcto o sobre otra cosa?

.- ¿Ha mediado dolo o engaño al obtenerlo?

En todos estos casos el consentimiento prestado por el empleado sería nulo o anulable, de acuerdo con la ley… aunque no aplique el art. 7.4 RGPD.

Así que no, no defiendo la vuelta a los tiempos de Charles Dickens.

6.- ¿Fin?

No tan rápido, compañeros.

La (pen)última palabra sobre esto está aún por publicarse...

Jorge García Herrero

Abogado y Delegado de Protección de datos