Registro de jornada y modernidad tecnológica: ¿cómo afecta al derecho fundamental de protección de datos de carácter personal de los empleados?




Hace unos días asistí a la Global Robots Expo en Madrid y tuve la suerte de palpar la tecnología más reciente en robótica colaborativa así como escuchar interesantísimas ponencias y debates que subrayaban la relevancia del factor humano, pese a la presencia de máquinas cada vez más inteligentes. Precisamente, la entrada en vigor del deber de registro de jornada desde el 12 de mayo de 2019 suscita algunos interrogantes en materia de tecnología y protección de datos de carácter personal de los empleados. Cabe apuntar que los avances tecnológicos permiten el registro horario utilizando, por ejemplo, los datos biométricos de los empleados que son datos especialmente protegidos. El dato que se recoge de los trabajadores está constituido por varios puntos de la huella de uno de sus dedos índice que se tratan por un algoritmo matemático mediante el que se asocia a dicho conjunto de puntos un número que identifica al trabajador en cuestión. La reforma proporciona una mínima información ciñéndose a los aspectos estrictamente laborales que ya fueron comentados en una entrada reciente del Blog, pero no prohíbe el recurso a la tecnología para realizar el registro de jornada y tampoco dice nada respecto del sistema elegido y los derechos fundamentales de intimidad y protección de datos de los empleados. Se limita, por tanto, a señalar que se debe llevar a cabo día a día e incluir el momento de inicio y finalización de la jornada. Tan solo en la Guía del Ministerio de Trabajo se dice que en el supuesto de que el sistema de registro establecido requiera el acceso a dispositivos digitales o el uso de sistemas de videovigilancia o geolocalización, debe respetarse el derecho de protección de datos (Guía sobre el Registro de Jornada). Entonces, cabe preguntarse: ¿es legítima la negativa del trabajador en algún caso? ¿qué garantías deben cumplir las empresas de cara a evitar las sanciones del Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales?
Contamos con algunas respuestas ofrecidas por la Agencia Española de Protección de Datos (en adelante, AEPD) respecto a la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital o del rostro con software de reconocimiento facial, tanto antes del RGPD (Informe 0324/2009 de la AEPD) como tras su aprobación (Documento de trabajo de la AEPD de 2018).
El tratamiento de la huella digital o del rostro con software de reconocimiento facial para el control de acceso por los trabajadores podría considerarse una medida de control amparada en el artículo 20 del ET (y ahora también en el artículo 34.9 ET), por lo que no exigiría consentimiento del empleado. No obstante, para implantar esta medida debe aplicarse el principio de minimización; es decir, debe limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz. En este sentido, se debe advertir que el iris puede revelar el consumo de drogas, alcohol, o si el trabajador padece algún tipo de enfermedad como la diabetes, hipertensión, etc. La AEPD ha señalado en diversos informes que existen buenas prácticas que permiten el control a través de la huella digital sin que el sistema tenga que almacenar el dato biométrico (por ejemplo, por su incorporación a una tarjeta inteligente que se contrastase con la huella y se mantuviera siempre en poder del trabajador) (Documento de trabajo de la AEPD de 2018). La misma doctrina ha sostenido también la Sala 3ª del Tribunal Supremo en la STS 2.7.2007, RJ 6598, y la STSJ de Murcia de 25.1.2010, AS 2010\165. En la STSJ de Islas Canarias de 21.7.2007,  JUR 2009\446907, sobre idéntico asunto, se rechaza el argumento sindical de que este control horario reduzca las personas a un algoritmo ya que el alcance del sistema no llega a tanto.    
Aunque no es necesario el consentimiento del trabajador para el tratamiento de los mencionados datos biométricos, la AEPD ha indicado que debe informarse al trabajador de lo dispuesto en el artículo 13 del RGPD, especialmente de las consecuencias disciplinarias que podría acarrear la negativa del trabajador al tratamiento de su huella digital (Expediente Nº: E/02116/2016). Hay que advertir que el incumplimiento del principio de transparencia constituye infracción muy grave y que la sanción es compatible con las sanciones de la LISOS. 
Por último, no ha sido validado el control de presencia de empleados utilizando la voz ya que, con carácter general, las grabaciones indiscriminadas de voz y conversaciones de los empleados y público en general que acceden a los edificios no cumple el principio de proporcionalidad, considerándose una medida intrusiva para la intimidad de los empleados y para su derecho a la protección de datos de carácter personal (Informe de la AEPD). Otros medios requerirán además del consentimiento del trabajador afectado. Por ejemplo, algunas empresas en Suecia han logrado que sus trabajadores acepten la implantación de microchips debajo de la piel debido a sus variadas aplicaciones (vid. noticia). Desde nuestro punto de vista, los trabajadores tienen el derecho legítimo a rechazar su uso ya que existen otros medios menos intrusivos y que cumplen igual función.

Comentarios

  1. Entiendo pués, que negarte a dar los datos biometricos no puedes, pero la empresa te ha de informar donde residiran, el responsable y que tu negativa a darlos puede conllevar una sanción disciplinaria.
    Pero entonces, en el caso del uso de huella digital, ¿si se puede exigir a la empresa el que la huella resida en una targeta que lleve el trabajador y que compare los datos de esta con los del portador?. En este caso concreto, en mi empresa han introducido el sistema de huella, pero lo de la targeta... Se le puede exigir?

    ResponderEliminar
    Respuestas
    1. Estimado Maxi, muchas gracias por tu interés en la entrada del Blog. Le pido disculpas por el retraso en la respuesta. En efecto, la empresa debe informar al trabajador de todos los aspectos que menciona. Cuando las resoluciones de la AEPD se refieren a la tarjeta lo hacen en términos de buena práctica. Luego, desde mi punto de vista, en principio, no sería exigible pero sí recomendable. Un saludo cordial.

      Eliminar

Publicar un comentario

Gracias por suscribirte a #ElForodeLabos

Entradas populares de este blog

¿En qué supuestos se deben aplicar retenciones por IRPF en una indemnización por extinción del contrato de trabajo?

Consentimiento, Datos Personales y Cláusulas en el Contrato de Trabajo: ¿El inicio de una nueva época?