Vemos con cierta perplejidad como algunas PYMES se empeñan en implantar sistemas de reconocimiento facial o huella dactilar para establecer los controles horarios de la jornada laboral en su organización sin tener el más mínimo conocimiento de las implicaciones que este sistema tiene para ellos y para sus trabajadores, en ocasiones porque desconocen las implicaciones de usar estas tecnologías, en otras porque directamente son engañados por los proveedores de estos sistemas que insisten en que al usar algoritmos ya no hablamos de datos personales (deberían ver qué opina la AEPD y al propia AN al respecto de esta interpretación tan simplista).
Nosotros apreciamos en este uso indiscriminado un enorme desprecio por la protección de datos de los trabajadores ya que no se trata solo de simplificar un fichaje sino que ese rostro o esa huella son elementos que identifican de forma inequívoca a la persona y el RGPD consciente de la sensibilidad que estos datos van a alcanzar en un futuro actual o no muy lejano ha concedido el reconocimiento de categoría especial de dato y en consecuencia solo deberán ser tratados bajo condiciones especiales de seguridad y bajo premisas reforzadas de necesidad, en definitiva deberá ser una medida proporcional que garantice los derechos y libertades de los afectados frente al uso que realicen los responsable y esto no siempre sucede.
Un argumento simplista que se utiliza a menudo es justificar su uso con finalidad de control de horario laboral en que una Ley así lo determina y es un criterio totalmente desprovisto de veracidad ya que si bien es cierto que es una Ley quién determina la obligación de establecer el control horario de la jornada, a fecha de hoy no hay ninguna norma con rango de Ley que imponga el uso de datos biométricos para realizar estas tareas de control horario, por lo tanto se debe acudir a realizar previamente a su implantación un juicio de proporcionalidad de la medida que consiste básicamente en aplicar en el diseño el artículo 5 del RGPD y mas concretamente a analizar si:
La medida es la idónea, es decir, si esta solución es susceptible de conseguir el objetivo propuesto, siendo la respuesta relativamente sencilla, evidentemente sí.
La medida es necesaria, es decir si no existe otra medida mas moderada para la consecución del propósito perseguido y en este caso si el dato biométrico es una categoría especial de dato, que para ser usado requiere una doble legitimación (Art. 6 y art. 9 del RGPD) parece razonable que si mediante otro sistema que no use el dato biométrico consigo idénticos resultados la medida no será necesaria y en este caso existen desde las tarjetas ID, los códigos QR, los teclados alfanuméricos…. Por lo tanto, el criterio de necesidad queda en entredicho.
Por último, veamos el juicio de proporcionalidad en sentido estricto, estudiando si la medida es ponderada y equilibrada, si de ella se derivan más beneficios o ventajas para el interés general que perjuicios o desventajas para otros valores en conflicto como en este caso la protección de datos de los trabajadores y aquí es donde morimos de la risa cuando intentamos determinar en una PYME la existencia de un alto riesgo por ser infraestructura crítica o tratar tecnologías o productos sensibles o cuestiones relacionadas con las seguridad nacional u otras de sensibilidad elevada porque normalmente no las encontramos y no podemos asimilar una PYME que realiza bordados, un semillero o una empresa de venta online de ropa a una central nuclear, un aeropuerto o una instalación militar o una empresa química y todo ello sin analizar los derechos de los trabajadores en referencia a sus datos especialmente protegidos.
Otra cuestión muy manida es cuando nos comentan que disponen del consentimiento de todos los trabajadores ya que tenemos que insistir en que el consentimiento en el ámbito de una relación laboral no puede ser la base legitimadora elegida ya que existe una situación de desequilibrio entre el empleado y el empleador lo que hace que ese consentimiento pierda una de sus características esenciales como es que sea libre y por tanto carece de validez como base legitimadora.
Algunos insisten tanto que nos proponen hacer una Evaluación de Impacto a la Proteccion de Datos (EIPD) sin saber que en la fase inicial de cualquier evaluación de impacto se realiza un análisis de los datos tratados, de su proporcionalidad y si el dato no supera el juicio de proporcionalidad poco más se puede hacer, aunque siempre queda la opción de una consulta previa a la Autoridad de Control, pero eso ya no les gusta tanto no sea que por fin la AEPD se pronuncie y les tire abajo el sistema.
Por eso insistimos en desterrar estos sistemas en nuestros clientes, ya que actualmente su uso debe limitarse a situaciones ciertamente excepcionales.
JM MULERO