Vamos a centrarnos en el caso de una administración publica que decidió implementar un sistema de reconocimiento facial, para el registro diario de jornada laboral según lo dispuesto en el art. 34.9ET, con la finalidad de tratar los datos de sus 38 empleados.
Si quiere que le asesoremos con este o cualquier asunto de otra índole, por favor, póngase en contacto con nosotros a través del siguiente botón:
Anteriormente la entidad administrativa tenía implantado el sistema del registro de la jornada diaria mediante huella dactilar. Lo hizo informando a sus empleados que las tarjetas utilizadas anteriormente, eran susceptibles de traspasarse fraudulentamente para fichar entre empleados en nombre de otros para la misma función.
A la hora de acometer este cambio al reconocimiento facial, la entidad empleadora lo justificó, entre otras razones, para evitar la propagación del COVID mediante el contacto con el lector de huella.
Este sistema de reconocimiento facial consistía en un dispositivo colocado en uno de los accesos a la entidad pública, frente al que las personas trabajadoras presentan su cara y a través del RF, se registra su hora de entrada, con la hora y el nombre y apellidos de cada trabajador.
El sistema del software funciona extrayendo imágenes bidimensionales del rostro para identificar a la persona que realiza el acceso, pero no conserva imágenes o fotografías del rostro del trabajador.
Previamente la entidad empleadora tomo una fotografía de la cara de cada empleado con su autorización. El software transforma esta fotografía en una plantilla, con las características de los parámetros capturados, y la guarda en el sistema, vinculada con el nombre y apellidos del empleado.
La AEPD echa en falta la evaluación de impacto del tratamiento de datos biométricos de reconocimiento facial para el registro de la jornada diaria laboral de sus empleados, y la entidad empleadora alega que no trata datos biométricos de carácter especial, porque los datos que maneja no están identificando de manera unívoca a la persona de la que se extraen.
Para considerarse datos biométricos en el sentido del RGPD, el tratamiento de datos sin procesar, como las características físicas, fisiológicas o conductuales de una persona física deben hacerse con una evaluación de impacto del tratamiento de datos biométricos de reconocimiento facial.
Así, los datos biométricos presentan la particularidad de ser producidos por el propio cuerpo y lo caracterizan definitivamente, son datos no sobre esa persona, sino que los datos refieren a la misma persona, en principio no modificables por voluntad del individuo, ni la persona puede ser liberada de ellos, no se pueden cambiar en caso de compromiso-pérdida o intrusión en el sistema.
Además, debido a que los datos biométricos son propios de una persona y perpetuos, el usuario utiliza los mismos datos en diferentes sistemas.
Por principio, su tratamiento está prohibido y solo pueden tratarse con carácter excepcional, en determinados supuestos que se contemplan en el RGPD, que prevé unos estrictos requisitos para posibilitar finalmente la puesta en funcionamiento de tales sistemas, debido a la afectación a los derechos y libertades fundamentales.
Así, los responsables del tratamiento deben garantizar que la evaluación de la necesidad y la proporcionalidad considere una evaluación exhaustiva de las opciones menos intrusivas disponibles. Por consiguiente, se ha de documentar la viabilidad de otras opciones disponibles que no requieran el uso de datos especiales, comparar todas las opciones y documentar las conclusiones.
Todo ello, considerando el contexto del marco en el que se traza el tratamiento, el cumplimiento de las obligaciones a través del registro de jornada. La necesidad implica que se requiere una evaluación combinada, basada en hechos, sobre la eficacia de la medida para el objetivo perseguido y sobre si resulta menos intrusiva en comparación con otras opciones para lograr el mismo objetivo.
El tratamiento de reconocimiento facial presenta altos riesgos para los derechos y libertades fundamentales y antes de implantar un proyecto de tratamiento de datos, siempre y cuando sea probable que el mismo suponga un riesgo significativo para los derechos y libertades de las personas, como es este caso, es preciso auditar su funcionamiento, no de forma aislada sino en el marco del tratamiento concreto en que se va a emplear.
La evaluación de impacto en la protección de datos personales, EIPD, es la herramienta que en el RGPD se ocupa de la garantía de cumplimiento de esta vertiente del tratamiento.
La utilización de datos biométricos y, en particular, el RF entraña mayores riesgos para los derechos de los interesados. Es fundamental que el recurso a esas tecnologías se haga respetando debidamente los principios de legalidad, necesidad, proporcionalidad y minimización de los datos establecidos en el RGPD.
Si bien el uso de estas tecnologías puede percibirse como particularmente eficaz, los responsables deben, en primer lugar, evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su objetivo legítimo del tratamiento.
El art. 35 RGPD cuya infracción se imputa a la reclamada, establece la obligación de disponer de una Evaluación de Impacto en la Protección de los Datos Personales (EIPD).
Y en el presente caso, la reclamada no contempla diversos y variados elementos y escenarios que se han señalado en este apartado en su valoración de riesgos, y ha manifestado que no trata datos de carácter especial.
Sin embargo, a juicio de la AEPD, los datos sí que son de dicho tipo, por cuando identifican ineludiblemente al empleado, ya que tiene su plantilla guardada y cuando presente la muestra, la comprueba de entre todas las existentes, identificando plenamente a su titular a través de las muestras que se guardan en el dispositivo.
Por tanto, los hechos expuestos incumplen lo establecido en el art. 35 RGPD, con ausencia de cualquier tipo de análisis documentado del impacto vinculado al tratamiento de reconocimiento facial del que deriven la adopción de medidas y garantías específicas
También rechaza la AEPD que este sistema de reconocimiento facial fuese necesario debido a la pandemia, pues el desempeño de servicios esenciales no implica el uso del sistema de reconocimiento facial que partiendo de su prohibición precisa de un análisis de su impacto y las garantías de los derechos de sus titulares. Y de lo actuado se desprende que sí existe culpabilidad por parte de la reclamada, por cuanto podría haber actuado de forma distinta a la que lo hizo, sin la exigencia de una diligencia exagerada.
Sobre el autor:
Abogada Socia Área Laboral
Sammos Legal Abogados
