La teva empresa utilitza l'empremta dactilar o el reconeixement facial per registrar el moment en què els treballadors comencen i acaben la jornada laboral? O potser t'has plantejat implantar una tecnologia semblant? No ens sorprendria que fos així, però la Agència Espanyola de Protecció de Dades (AEPD) ho desaconsella.
Redactat per Abigail Sked
Especialista en protecció de dades
Es pot utilitzar biometria per fitxar a l'empresa?
Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)
És obligatori registrar la jornada dels vostres empleats
Les empreses a Espanya han de dur a terme el registre de jornada laboral de manera diària i digital, registrant les hores d'inici i fi de la jornada laboral de tots els treballadors i conservant aquests registres durant 4 anys. Hi ha múltiples formes de controlar la presència dels treballadors, algunes de les quals fan ús de dades biomètriques.
I què són les dades biomètriques?
El Reglament General de Protecció de Dades (RGPD) defineix les dades biomètriques com «dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física que permetin o confirmin la identificació única d'aquesta persona, com ara imatges facials o dades dactiloscòpiques».
Algunes característiques que sovint es converteixen en dades biomètriques quan es processen tecnològicament per poder identificar algú de manera única són:
- L'empremta dactilar
- La forma de la cara
- L'iris
- La veu
Un sistema biomètric registrarà aquest tipus de dades i les utilitzarà per identificar o autenticar la identitat de les persones. Tot i que registrar la jornada mitjançant l'ús d'un sistema d'aquest tipus presenta certs avantatges, com ara la precisió, la comoditat d'ús, la rapidesa i fins i tot la seguretat, ja que les dades biomètriques són difícils de falsificar, aquests suposats avantatges s'han de contraposar als drets dels treballadors, especialment pel que fa a la protecció de dades personals.
Lliçons de 23andMe: Com Protegir la teva Empresa de Violacions de Dades Personals
L'entorn legal relatiu al fitxatge biomètric
L'any passat, l'Agència Espanyola de Protecció de Dades (AEPD) va endurir les seves normes sobre els sistemes de fitxatge basats en dades biomètriques. De fet, avui dia, és gairebé impossible demostrar que l'ús de dades biomètriques per al registre de jornada laboral compleix la legislació sobre protecció de dades.
T'expliquem el perquè.
Segons el RGPD, la dada biomètrica és una dada de categoria especial, la qual cosa significa que el seu tractament està generalment prohibit, llevat que concorrin certs supòsits excepcionals, entre els quals s'inclouen el consentiment explícit de l'interessat i els casos en què el tractament sigui necessari per al compliment d'obligacions en l'àmbit del Dret laboral de l'Estat membre de la Unió Europea i estigui previst per la normativa d'aquest Estat membre.
QUÈ ÉS EL REGLAMENT GENERAL DE PROTECCIÓ DE DADES (RGPD) I COM M'AFECTA?
En una resolució de juny del 2024, la Agència Espanyola de Protecció de Dades (AEPD) ha exposat que el tractament de dades biomètriques en l'àmbit del control de la jornada laboral comporta una probabilitat d'alt risc per als drets i llibertats dels empleats, mereixedora d'una Avaluació d'Impacte per a la Protecció de Dades (AIPD) prèvia i vàlida.
En realitzar l'AIPD, entre altres qüestions, hauríeu de demostrar que el tractament de les dades biomètriques és estrictament necessari per a aquesta finalitat concreta i proporcional a aquesta, és a dir, que no hi ha cap altre tractament menys intrusiu capaç d'assolir el mateix objectiu, cosa que serà difícil d'acreditar atès que les empreses porten anys utilitzant altres mitjans per al registre de la jornada laboral.
Si aconseguíssiu demostrar que el tractament sí que és necessari, caldria també demostrar que el tractament és legítim, acreditant algun dels supòsits excepcionals que aixequen la prohibició general de tractar dades biomètriques. Actualment, com que no hi ha cap llei que permeti explícitament aquest tipus de tractament, l'única manera de superar la prohibició seria mitjançant el consentiment explícit de l'empleat, però, atès el desequilibri de poder entre l'empleat i l'empresari, el consentiment només es percebria com a lliurement atorgat si se li oferís un tractament de dades equivalent i menys intrusiu pel qual pogués optar en lloc del tractament de dades biomètriques. No obstant això, si s'oferís aquesta alternativa, bàsicament s'estaria afirmant que el tractament de les dades biomètriques, en realitat, no és necessari.
Compte, perquè això s'aplica també als sistemes que utilitzen geolocalització. L'AEPD va assenyalar que no semblava «necessari ni proporcional, atesa la relació entre avantatges i inconvenients, utilitzar sistemes de fitxatge de l'horari de la jornada laboral que es basin en tractaments de dades personals biomètriques i de geolocalització, quan hi ha altres possibles mètodes alternatius de fitxatge de l'horari igualment eficaços, per la qual cosa difícilment se superarà aquesta avaluació o triple judici de proporcionalitat en la AIPD».
Què he de fer si la meva empresa utilitza dades biomètriques per registrar la jornada?
Si a la teva empresa feu servir un sistema de registre de jornada basat en dades biomètriques, com l'empremta dactilar, el més aconsellable és suspendre el seu ús i cessar com més aviat millor el tractament d'aquestes dades, optant per una solució alternativa que compleixi el criteri vigent de l'AEPD.
Coneix els nostres serveis de protecció de dades
Quins altres mètodes hi ha per controlar la presència dels treballadors?
Alguns exemples de sistemes alternatius per al registre de la jornada laboral són:
- Aplicacions o programari de fitxatge: Els treballadors registren la seva entrada i sortida mitjançant aplicacions específiques, accessibles des d'ordinadors, tauletes o smartphones. El fitxatge es pot realitzar introduint un usuari i contrasenya o amb codis PIN únics per a cada empleat.
- Sistemes basats en targetes o clauers: S'utilitzen targetes magnètiques, de proximitat (RFID) o clauers electrònics, que cada empleat ha de passar per un lector a l'inici i al final de la jornada.
- Registre mitjançant accés a xarxes o dispositius: El sistema registra automàticament l'hora d'entrada i sortida quan el treballador es connecta o desconnecta de la xarxa Wi-Fi corporativa. També es pot controlar mitjançant la connexió o desconnexió d'equips de treball, com ara ordinadors o terminals.
- Registres automàtics en sistemes de treball remot: En entorns de teletreball, algunes eines poden registrar automàticament les hores actives del treballador a la plataforma, servint com a registre horari.
- Fitxatge mitjançant codis QR: Els empleats escanegen un codi QR únic amb els seus telèfons mòbils en entrar i sortir de la feina. Aquest codi pot actualitzar-se periòdicament per evitar un ús indegut.
Resum
L'ús de dades biomètriques per registrar la jornada laboral presenta riscos elevats per als drets dels treballadors i es considera generalment desproporcionat per l'AEPD, atès que hi ha alternatives menys intrusives. En tractar-se de dades de categoria especial segons el RGPD, el seu tractament està generalment prohibit llevat de casos excepcionals que, en aquest cas, són difícils de justificar. Per això, es recomana suspendre aquests sistemes i optar per mètodes alternatius com ara aplicacions de fitxatge, targetes, codis QR o registres automàtics, que compleixen la normativa i garanteixen un respecte més gran a la protecció de dades personals.
Assessorament jurídic en dret laboral i protecció de dades
El nostre equip d'advocats i especialistes en dret laboral i protecció de dades està a la vostra disposició per respondre qualsevol pregunta que tingueu sobre les obligacions de les empreses, tant com a empleadors com a responsables del tractament de dades. No dubteu a posar-vos en contacte amb nosaltres!
