Información RGPD sobre protección de datos en control de presencia

por | Mar 15, 2022 | Control de Presencia, Noticias

legalidad de uso de biometría control de presencia

Legalidad de uso de Biometría para el control de presencia

Toda la información de este documento es meramente informativa y no vinculante.

La empresa SystemPin no es una empresa especializada en protección de datos de carácter personal, hemos redactado este documento a partir de la experiencia que hemos obtenido en la implantación de sistemas de control de presencia mediante sistemas biométricos.

En SystemPin, hemos suministrado sistemas biométricos de control de presencia desde que surgió esta tecnología, desde el 2005 en el que utlizamos nuestro primer terminal biométricos, hemos suministrado mas de 15.000 terminales por todo el territorio nacional.

Aunque hemos revisado toda la información en fuentes y boletines oficiales, muchas de las leyes referentes a Protección de datos de Caracter Personal, no son precisas y están muy abiertas a interpretación, no nos hacemos responsables de que alguna información o interpretación aquí redactada pudiera ser interpretada de un modo distinto por un inspector, juez, o cualquier otra persona o entidad.

Con independencia del control de presencia que usted utilice, toda empresa está obligada a cumplir con la ley de protección de datos de carácter personal, la mejor garantía para evitar cualquier sanción es la contratación de los servicios de una empresa especializada en esta materia, y que le pueda asesorar en todo lo relativo a la RGPD, y preparar para usted toda la documentación exigida por esta ley.

1. Legalidad de uso de datos biométricos para el control de presencia

Aunque por nuestra parte nunca hemos encontrado oposición legal en la instalación de estos sistemas biométricos en ninguna empresa, si somos conscientes de que han existido denuncias por partes de agrupaciones o sindicatos de empleados para impedir el uso de sistemas biométricos para el control de presencia.

Todas las sentencias de las que tenemos conocimiento, que se han dictaminado en lo que respecta a la oposición de uso de sistemas biométricos para el control de presencia, han sido desestimadas, indicando que el uso de datos biométricos, es un sistema proporcionado para poder verificar la realización de la jornada laboral.

Estas sentencias aplican lo indicado en el artículo 20 del estatuto de los Trabajadores el cual establece que:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad”.

Adjuntamos dos de las sentencias de las que tenemos constancia:

  • Sentecia 47-2010 Tribunal Superior de justicia de la Región de Murcia
  • STS 5200/2007 Tribunal Supremo. Sala de lo Contencioso

Estas y otras sentencias han creado jurisprudencia, y hoy en día no cabe duda de que el uso de sistemas biométricos para el control de presencia es totalmente legal, usándose estos sistemas en todo tipo de empresas, tanto privadas como públicas.

Por tanto podemos usar sistemas biométricos para el control de presencia, y el empleado estará obligado a facilitarnos su datos biométricos para usarlos para esta finalidad especificada en el artículo 20 del estatuto de los trabajadores.
Todo lo anterior no exime el que cumplamos los requerimientos que indican las leyes de protección de datos de carácter personal para estos tipos de datos. Puntos que trataremos a continuación.

2. Ley Europea de protección de datos de carácter personal.

El pasado 25 de Mayo de 2018, empezó a aplicarse el nuevo REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO (RGPD) de 27 de abril de 2016.

La finalidad de este reglamento, es la unificación de todas las leyes de los países de la unión europea referentes a la gestión de los datos de carácter personal.

Un cambio significativo que ha supuesto la entrada de la nueva RGPD, es la eliminación de los tres niveles de datos que existían en la LOPD : BAJO, MEDIO y ALTO, no haciendo la RGPD distinciones entre datos personales, pero sí definiendo algunos datos como “datos sensibles, y que requieren de una especial protección”, sin que se especifiquen unas medidas mínimas exigibles de seguridad, dejando la decisión de las medidas a tomar al responsable de los datos.

3. Utilización de datos biométricos para el control de presencia según RGPD

En el artículo 9, apartado 1 de la RGPD, se establecen una serie de prohibiciones de datos de carácter personal que no pueden utilizarse, incluyendo explícitamente en esta prohibición la utilización de datos biométricos.

Acto seguido en el punto 2, establece varias excepciones a esta prohibición, la utilización de datos biométricos con la finalidad de control de presencia para la verificación del cumplimiento de un contrato laboral estaría incluida en la excepción b) de este punto 2.

“b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social…..“

4. ¿Qué considera la RGPD datos biométricos?

La nueva RGPD, define explícitamente los datos biométricos como datos que requieren de una protección especial, también incluye la definición de dato biométrico como: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Según esta definición, no cabe duda de que los datos biométricos utilizados para el control de presencia, permiten la identificación de personas de un modo automatizado, y por tanto, ya sean huellas dactilares, faciales, o de cualquier otro tipo, requerirán de medidas especiales de protección. Hablaremos de qué medidas especiales de protección se requieren en el siguiente punto.

5. Requisitos de protección especial para datos biométricos

La nueva RGPD, define explícitamente los datos biométricos como datos que requieren de una “protección especial”, pero no indica en ningún punto unos requisitos mínimos, dejando este criterio al responsable de Protección de datos de esta empresa.

El hecho de almacenar datos biométricos, no implica que estemos obligados a tomar las mayores medidas de seguridad existentes en la actualidad, lo que si implica, es que es necesario tomar medidas de protección adicionales y proporcionadas según el volumen de datos, y la finalidad para los que van a ser utilizados.

El riesgo existente en una empresa que dispone de los datos biométricos de cientos de miles de personas, y que utiliza estos datos para identificar a estas personas en las fotos de redes sociales para envíos de publicidad, no es comparable a una empresa que dispone de los datos biométricos de 30 empleados para el registro de presencia, y por tanto las medidas exigibles no tendría que ser las mismas, sino las adecuadas para cada caso.

6. Medidas de protección especial adoptadas en nuestro software para datos biométricos.

A raíz de la nueva RGPD, hemos mejorado nuestro software para dar la opción al usuario a configurar distintas medidas de seguridad del sistema si así se creé conveniente y así dar el trato especial de protección que la RGPD requiere para disponer de datos biométricos.

Las mejoras realizadas en nuestro software, nos permitirían:

Encriptación de datos biométricos contenidos en la base de datos mediante una contraseña y un protocolo seleccionado por el usuario.

  • Encriptación de datos biométricos contenidos en la base de datos mediante una contraseña y un protocolo seleccionado por el usuario.
  • Generación de Registro de Accesos, a los datos.
  • Encriptación de comunicaciones entre terminales y servidores mediante certificado SSL.
  • Disociación de datos en los terminales: De este modo si alguien accediera a la información del terminal, no podría saber a quién pertenece cada dato biométrico

7. Necesidad de realización de Evaluación de Impacto (EIPD).

La RGPD, establece la posible necesidad en su artículo 35:

“Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales….

La RGPD, al igual que pasa con las medidas de protección especiales a adoptar, deja la necesidad de realizar una evaluación de impacto muy abierta a interpretación, no definiendo casos concretos en los que es o no obligatorio realizar una evaluación de impacto.

Por otro lado, en el artículo 35.5 de la RGPD, indica que la autoridad de control (O sea la Agencia Española de Protección de datos AEPD) hará pública una lista de los casos en los es y no es necesario realizar una evaluación de Impacto (EIPD)

La AEPD hizo pública dos documentos el 4 de septiembre de 2019 con el fin de arrojar luz a cuando es y cuando no es necesario realizar una EIPD.
Por un lado está el documento “LISTAS DE TIPOS DE TRATAMIENTOS DE DATOS QUE REQUIEREN EVALUACIÓN DE IMPACTO RELATIVA A PROTECCIÓN DE DATOS (art 35.4) “ accesible desde el link https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf

Una vez más este documento tampoco indica con precisión cuándo es obligatorio o no realizar una EIPD, indicando una lista de casos y haciendo el siguiente inciso:

“En el momento de analizar tratamientos de datos será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista expuesta a continuación, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en artículo 35.5 del RGPD. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar una EIPD.”

Lo que nos lleva al documento en el que se publica la lista de tratamientos que NO requieren EIPD, que es posible consultar en el link https://www.aepd.es/sites/default/files/2019-12/ListasDPIA-35.5l.pdf

En el punto 5 de esta lista, establece como excepción a realizar una evaluación de impacto lo siguiente:

“5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.“

Al tratarse del control de presencia, de una tratamiento obligado por ley, podemos entender que está incluido en este punto, y por tanto no será necesaria la realización de una evaluación de impacto en caso de empresas catalogadas como PYMEs.

8. Consultas realizadas a la Agencia Española de Protección de Datos.

Indicar que con el fin de obtener más información y de conocer la interpretación que se realizan de las leyes aquí expuestas, hemos realizado consultas directamente a la Agencia Española de protección de Datos a través de su sede electrónica.

La AEPD, se ha abstenido a darnos ninguna interpretación o criterio de las consultas referentes a la ambigüedad con la que se trata en sus documentos oficiales de la necesidad de realizar o no una Evaluación de impacto.

La respuesta obtenida ha sido la siguiente:

“Este canal de consulta tiene como finalidad responder a las cuestiones planteadas por los ciudadanos sobre el ejercicio de los derechos que le reconoce la normativa de protección de datos personales, de conformidad con lo previsto el artículo 57.1.e) del Reglamento General de Protección de Datos (RGPD). En este sentido, se configura exclusivamente, como un canal de información que no puede realizar interpretaciones ni valoraciones jurídicas y sus respuestas son únicamente de carácter informativo y no vinculante.
Este canal no tiene por objeto el asesoramiento jurídico personalizado e individualizado a los responsables y los encargados del tratamiento. De conformidad con las orientaciones facilitadas por la Comisión Europea en su Comunicación 43 de fecha 24.1.2018 sobre la aplicación directa del RGPD, ese asesoramiento solo corresponde a un abogado o un delegado de protección de datos. “

9. Preguntas Frecuentes.

– ¿Está prohibido el uso de datos biométricos según el nuevo RGPD?
En el articulo 9 del RGPD, se establece la prohibición de la utilización de datos biométricos, y las excepciones a esta prohibición, detallando en la sección b como excepción, la finalidad de comprobar el cumplimiento de contratos laborales.

– ¿Se puede negar un empleado a que utilicemos sus datos biométricos?
En lo que a esto respecta, el nuevo RGPD, no ha afectado en nada ya que coincide con la antigua LOPD en que el uso de los datos de carácter personal tiene que ser proporcionado y justificado.
Existen varias sentencias que han sentado jurisprudencia y califican la utilización de sistemas biométricos para el control de la jornada laboral, como proporcionado y justificado, y por tanto el trabajador está obligado a facilitar este dato personal.
1. Sentencia 47/2010 Tribunal Superior de Justicia de la Región de Murcia
2. Sentencia 5200/2007 Tribunal Supremo
3. Dictamen Nº D16-045 Agencia Vasca de Protección de Datos

– Al tener datos biométricos de los empleados, ¿es necesario un Delegado de protección de datos?
No es necesario, esta figura solo será necesaria en caso de trabajar con volúmenes de datos a gran escala.

– ¿Qué medidas requiere el nuevo RGPD si dispongo de datos biométricos de mis empleados?
El nuevo RGPD, no especifica medidas concretas, simplemente cataloga los datos biométricos como datos que requieren de una protección especial. El hecho de no especificar unas medidas concretas es debido a que no sería lógico exigir las mismas medidas de seguridad a una empresa que disponga de los datos biométricos de unas pocas decenas de empleados, que a aquellas que manejan volúmenes de información a gran escala. El responsable será el encargado de fijar a su criterio las medidas oportunas para garantizar la confidencialidad y la protección de los datos personales.

– ¿Es obligatorio cifrar los datos biométricos que tenga nuestra aplicación tanto en el almacenamiento como en la comunicación?

En cuanto al cifrado de los datos biométricos, el nuevo RGPD, al igual que para el resto de datos, no especifica explícitamente que sea obligado el cifrado para los datos biométricos, lo menciona como medida que se puede tomar en caso de que el responsable de Tratamiento, lo estime conveniente, teniendo en cuenta factores, como el volumen de datos, la exposición de los mismos, las consecuencias en caso de robo o pérdida, etc…

A continuación detallamos todas las menciones al cifrado de datos que hace la actual RGPD:

  • Consideración previa (83): A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.
  • Artículo 6.4 e): Según este artículo, el cifrado de los datos sería un punto
    a tener en cuenta por el encargado de tratamiento con objeto de
    determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales.
  • Artículo 32.1: Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales.
  • Artículo 34.3 a): La nueva RGPD obliga a comunicar a los clientes los fallos y brechas de seguridad detectadas que hayan supuesto perdida de información. Esta comunicación no será necesaria en caso de que la información sustraída estuviera cifrada.

– ¿Existen sentencias en contra del uso de datos biométricos para el control de presencia?

No tenemos constancia de sentencias que hayan impedido a empresas usar sistemas biométricos para el control de presencia de empleados. Si usted tuviese constancia de alguna sentencia en este sentido, le agradeceríamos nos la hiciese llegar a www.systempin.com.

– ¿Tenemos constancia de sanciones impuestas por la AEPD para uso de datos biométricos para el control de presencia?

A fecha de la redacción de este documento, solamente hemos encontrado una referencia a una sanción por el uso de Datos biométricos para el control de presencia. Esta sanción fue impuesta a la empresa “SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI SL” en octubre de 2020 expediente número: PS/00050/2021 por no realizar una Evaluación de impacto, y estimar la AEPD que si era necesario en su caso al no tratarse de una PYME.

Esta empresa optó por no recurrir dicha sanción, aún siendo posible recurrirla ante la AEPD y ante Audiencia Nacional en segunda Instancia.
Por otro lado, también hemos encontrado en internet referencias a anulaciones de sanciones de la AEPD por parte de la Audiencia Nacional por el uso de datos biométricos con finalidades distintas al control de presencia, en concreto en un gimnasio de Murcia.

– ¿Puede utilizar nuestro sistema informático los datos biométricos para cualquier otra necesidad que no sea la del control de presencia y accesos?

Nuestro software y terminales, solo utilizan la información para el reconocimiento de personas para el control de presencia, y no dispone de opciones para utilizarlos para ninguna otra finalidad.

10.Conclusión respecto al uso de biometría para el control de presencia.

Nuestra experiencia es que después de implantar miles de terminales de control de presencia en todo el territorio nacional desde hace mas de 15 años, no tenemos constancia de que ninguna de estas empresas haya tenido sanción alguna por la implantación de un sistema biométrico de control de presencia.

Una vez revisada toda la documentación que tenemos en nuestro poder, según nuestra interpretación, el uso de la biométria para el control de presencia, está admitido por la RGPD al establecerlo como excepción a la prohibición de uso de datos biométricos en el artículo 9.2. b)

La cuestión más abierta a interpretación, es la necesidad o no de realizar una Evaluación de Impacto. Ni en la RGPD ni las listas publicadas por la AEPD indican unas condiciones exactas de cuándo es necesario o no realizar esta evaluación de impacto, dejando este criterio en manos del responsable de la protección de datos de la empresa.

En el punto 5 de esta lista publicada por la AEPD, establece como excepción a realizar una evaluación de impacto lo siguiente:

“5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.“

Por tanto, y siempre desde nuestra interpretación, la utilización de la biometría para el control de presencia es legal, y en todo caso es posible que sea necesaria la realización de una evaluación de impacto según el criterio que se aplique en la interpretación de los documentos de la RGPD y la AEPD.

En cualquier caso, nos gustaría aclarar de nuevo, que no somos una empresa especializada en leyes en general ni en ley de protección de datos en particular, y que todo lo contenido en este documento son interpretaciones propias, y no vinculantes, siendo imposible predecir la interpretación que podría realizar un inspector de la AEPD o un juez en cuanto la necesidad o no de una evaluación de impacto o del uso de datos biométricos para el control de presencia.

Para reducir al mínimo el riesgo de cualquier sanción por parte de la AEPD relativa a datos personales que usted almacene, ya sea para el control de presencia, como datos de carácter personal utilizados para cualquier otra finalidad, aconsejamos contratar los servicios de una empresa especializada en datos de carácter personal.

Disponemos de sistemas de control de presencia que cumplen con los requerimientos legales, contacte con nosotros y le realizaremos una demostración de nuestros servicios. Formulario de Contacto

Consulte más información de nuestro software de control de presencia

Si desea información sobre relojes para fichar y terminales biométricos acceda a nuestra sección de Terminales

Reloj para fichar con Huella Dactilar Tarjeta y Contraseña

Reloj para fichar con Reconocimiento Facial, Tarjeta y Contraseña

Call Now Button