¿Qué son datos biométricos?
La ventaja que tiene utilizar datos biométricos radica esencialmente en que nos permiten distinguir e identificar a una persona respecto de otra, mediante procesos de análisis técnicos que garantizan la imposibilidad de coincidencias de singularidades y características iguales en dos personas distintas.
Así, los datos biométricos sirven para identificar a los individuos y, en consecuencia, el tratamiento de dichos datos deben estar sometidos al cumplimiento de la normativa sobre protección de datos personales.
¿Es legal establecer medidas de control de acceso mediante huella dactilar en los centro de trabajo?
Aunque la pieza básica sobre la que descansa el derecho fundamental a la protección de datos es el consentimiento del afectado, debemos con carácter previo a su solicitud, determinar si los datos que vamos a recabar pasan el filtro de calidad que exige la Ley.
¿En qué consiste este filtro de calidad?
En que por más que tengamos el consentimiento del afectado, no podremos tratas sus datos personales si éstos no son adecuados, pertinentes o resultan excesivos atendiendo a la finalidad legítima del tratamiento que perseguimos.
Es decir, que antes de instalar un artilugio, por ejemplo, de control de acceso con huella dactilar, debemos preguntarnos si dicho procedimiento es adecuado, pertinente y excesivo atendiendo a la finalidad que pretendemos. En definitiva, que el tratamiento realizado sea proporcional a la finalidad buscada.
Requisitos.
Según el Tribunal Constitucional, la medida a adoptar (por ejemplo, control de acceso con huella dactilar) debe ser:
- Justificada, por lo que deben existir unas motivadas razones que legitimen su adopción, por lo general, garantizar las horas de presencia de trabajadores en la sede de su empresa.
- Idónea para la finalidad pretendida, es decir, que atendiendo a que es de sobra conocido la utilización de tarjetas de identificación en relojes de fichar por trabajadores no titulares de la misma con la finalidad de ocultar y distraer las reales horas de presencia del verdadero titular de la tarjeta en el centro de trabajo, la adopción de la medida es la más útil y adecuada porque requiere la identificación personal in situ del trabajador.
- Necesaria, en el sentido de que si con la adopción del control de acceso por huella dactilar, conseguiremos garantizar las horas de presencia laboral de cualquier trabajador.
- Equilibrada, si la intrusión en la esfera de la intimidad de las personas es demasiado grave atendiendo a la finalidad querida. En este caso, teniendo en cuenta que las empresas ya tiene recabados un conjunto de datos personales de sus trabajadores, la obtención de su huella dactilar no resulta discordante atendiendo a la finalidad legítima perseguida por el empresario y legalmente reconocida en el Estatuto de los Trabajadores que le permite establecer medidas de vigilancia y control para verificar el cumplimiento de las obligaciones y deberes laborales de sus empleados.
Criterios jurisprudenciales y administrativos en la adopción de este tipo medidas y tratamientos.
Esta cuestión ha sido resulta por el Tribunal Supremo, en sentencia de 2 de julio de 2007, que ha señalado lo siguiente:
“La captación por infrarrojos de una imagen tridimensional de la mano que acaba convertida en un registro de nueve bytes válido para, mediante tratamiento informático que lo relaciona con otros datos, identificar a los empleados públicos del Gobierno de Cantabria y así controlar el cumplimiento del horario de trabajo, no responde al patrón de las intromisiones ilegítimas en la esfera de la intimidad, tanto por la parte del cuerpo utilizada, como por las condiciones en que se usa. (…) Desde luego, la finalidad perseguida mediante su utilización es plenamente legítima: el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos. Y, en tanto esa obligación es inherente a la relación que une a estos con la Administración Autonómica, no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la Ley Orgánica 15/1999 lo excluye en estos casos. Además, no parece que la toma, en las condiciones expuestas, de una imagen de la mano incumpla las exigencias de su artículo 4.1.
Por el contrario, puede considerarse adecuada, pertinente y no excesiva.
Ciertamente, el registro formado por estos datos personales junto a los demás de este carácter incluidos en el fichero sí está sujeto a las previsiones de dicha Ley Orgánica entre las cuales se hallan las relativas a la información a los afectados prevista en el artículo 5.1 y a la notificación del fichero a la Agencia Española de Protección de Datos.”
Por su parte, la Agencia Española de Protección de Datos, también se ha pronunciado sobre si el tratamiento de la huella dactilar, como dato biométrico que es, puede considerarse excesivo para el fin que motiva dicho tratamiento (entre otros, Informe 0324/2009) y ha concluido que:
“En el caso planteado, tratándose del tratamiento de la huella digital, la información contenida en dicho dato no contiene ningún aspecto concreto de la personalidad y tan sólo cuando dicha información se vincula a la identidad de una persona es posible identificarla con toda certeza, de modo que los datos que se recaban no pueden considerarse de mayor trascendencia que los relativos a un número personal, a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos».
Por otra parte, en cuanto a la necesidad de que el interesado preste su consentimiento (o pueda oponerse) al tratamiento de su huella digital, debe indicarse que si bien el artículo 6.1 de la LOPD exige el consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal, el artículo 6.2 prevé que no será preciso el consentimiento cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.
En este caso, del tenor de la consulta parece deducirse que el tratamiento al que se hace referencia trae su origen, precisamente de la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relación laboral que vincula al trabajador con la empresa, lo que unido a lo hasta ahora señalado parece permitir el tratamiento de los datos. (…)
Además, en lo atinente a las medidas de seguridad en el tratamiento, debe señalarse que, teniendo en cuenta lo que se ha indicado en cuanto al dato biométrico de la huella digital, el mismo no puede ser considerado en modo alguno dato especialmente protegido o sensible, por lo que resultarán de aplicación al tratamiento las medidas de seguridad de nivel básico, previstas en el Reglamento de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio.”
Existen otros pronunciamientos por parte de la AEPD, en relación a la procedencia de este tipo de medidas y tratamientos en otros ámbitos distintos al laboral, como el recogido en el Informe 368/2006, en el que se abordaba esta cuestión en relación al posible control de ausencias y retrasos de los alumnos en su horario escolar, a través de la obtención de la huella dactilar:
“En consecuencia, entendemos que resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.”
De igual manera, en el Informe 0082/2010 la consulta que se planteaba a la AEPD, versaba acerca de la creación de una base de datos, con la huella dactilar de los clientes, al que se otorgaba un código alfanumérico. En este caso la Agencia determinó:
“Atendiendo al juicio de proporcionalidad que el Tribunal Constitucional exige en la adopción de este timo de medidas, concluimos que resulta desproporcionado, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes, cuando dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas de fidelización.”
Como vemos, existe una clara línea en virtud de la cual tanto la Agencia como los Tribunales, se muestran a favor de la adopción de medidas de este tipo en el entorno laboral, pero no fuera de él, motivado bajo nuestro punto de vista por dos razones:
primero, porque en el entorno laboral el empresario tiene reconocido un poder ex lege para vigilar y controlar el cumplimiento de las obligaciones y deberes de sus empleados.
- segundo, porque la adopción de este tipo de medidas en el entorno laboral afecta a un mismo número determinado y concreto de personas durante un periodo de tiempo (lo que no ocurre si se aplica a clientes), y, además, porque la medida en sí cumple los criterios de proporcionalidad definidos por la jurisprudencia constitucional, es decir, está justificada, además de ser idónea, necesaria y equilibrada para la finalidad pretendida, que no es más que garantizar el cumplimiento de presencia horaria del trabajador en su puesto de trabajo.