El uso de la tecnología de reconocimiento facial de los empleados en la empresa: una medida de control excepcional





Hace unos meses se investigaba en Bélgica la fuga de datos de los empleados de una conocidísima empresa de trabajo temporal (aproximadamente 2000 empleados). La Agencia belga de protección de datos denunciaba la gravedad de los hechos teniendo en cuenta que la brecha de seguridad se refería al reconocimiento facial de los trabajadores (vid. noticia). Al hilo de esta noticia surgen algunas cuestiones: ¿debemos tratar por igual al conjunto de los datos biométricos? ¿está legitimado el empresario para usar tecnología de reconocimiento facial en algunos casos? ¿cuáles serían las garantías requeridas para su correcta implantación?

El punto de partida es lo dispuesto en el Reglamento Europeo de Protección de Datos 2016/679, de 27 de abril (RGPD), donde se indica en su art. 4 que los datos biométricos pertenecen a la categoría de datos especiales que se obtienen partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Ahora bien, conviene advertir que hay datos biométricos de primera y segunda generación. La segunda generación de datos incluye tecnología biométrica que permite la autentificación a través de la captura de datos (forma de caminar, voz, olor corporal, ondas cerebrales, actividad eléctrica del corazón, temperatura corporal, dilatación de las pupilas) pero, a diferencia de la primera, desde una distancia y en movimiento. Estas características biométricas pueden en ocasiones ser tratadas mientras el titular de los datos no lo percibe.  Lo que hace difícil verificar si los responsables del tratamiento cumplen con la legislación de protección de datos. La llamada segunda generación de datos podría ser usada para la elaboración de perfiles implicando que los individuos sean categorizados e incluso ser objeto de discriminación y estigma social. Como regla general, queda prohibido el tratamiento de datos personales que revelen datos biométricos dirigidos a identificar de manera unívoca a una persona fisica. No obstante, esta regla se excepciona cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral y de la seguridad y protección social, en la medida que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado (art. 9 RGPD).

El Tribunal Europeo de Derechos Humanos ya advirtió en el Caso Marper de 4-12-2008  que no todos los datos biométricos deben ser tratados por igual porque no todos ellos conllevan la misma intrusión en los derechos de la persona. En particular, el Consejo Europeo de Protección de Datos ha indicado en julio de 2019 que el reconocimiento facial implica riesgos más elevados para los derechos de los titulares de los datos y, que debido a ello, precisa de una mayor protección.
Nada es más personal que el rostro de un individuo. El uso de esta tecnología se debe realizar preservando los principios de legalidad, necesidad, proporcionalidad y minimización de datos conforme a lo dispuesto en el RGPD. Pese a las ventajas asociadas a esta tecnología para la empresa, los responsables deben ante todo evaluar su impacto sobre los derechos y libertades y considerar medios menos intrusivos para alcanzar los propósitos legítimos de estos procesamientos (Guidelines 3/2019 on processing of personal data through video devices). 

En nuestro país, las resoluciones judiciales que existen sobre el control empresarial basado en datos biométricos de los trabajadores se han centrado en la lectura de la huella dactilar y todavía no se ha abordado la cuestión referida al tratamiento del rostro con sofware de reconocimiento facial. Por su parte, la AEPD ha realizado una distinción entre la tecnología de reconocimiento facial y los sistemas de fichaje por huella dactilar implantados en algunas empresas, mostrándose más permisiva respecto de los controles de huella dactilar que en los casos del reconocimiento facial (vid. entrada previa de blog). En relación con el reconocimiento facial, la AEPD ha indicado que habrán de tenerse especialmente en cuenta los principios de minimización y de licitud del tratamiento. Según criterio de la Agencia, en el ámbito laboral el uso de software de reconocimiento facial podría considerarse una medida de control por el empresario, admitida por el artículo 20 ET siempre y cuando sea proporcional, lo que exigiría tener en cuenta la naturaleza de la actividad y de las instalaciones para cuyo acceso se requiriese el reconocimiento facial. En los restantes supuestos, no existiría una habilitación similar, si bien podría ser posible el tratamiento cuando se tratase de preservar la seguridad de determinadas instalaciones como las estratégicas, así como determinados supuestos amparados por la Directiva 2016/680 (vid. documento). 

Especial interés tiene el desarrollo francés sobre esta cuestión. En enero de 2019 la Autoridad francesa de Protección de Datos (CNIL) aprobó unas reglas sobre el uso empresarial de la información biométrica de sus empleados tales como el reconocimiento facial. Para su empleo, se requiere el cumplimiento de los siguientes requisitos: i) Justificar al CNIL por qué necesitan usar estos sistemas y no otros menos intrusivos; ii) Disponer de medidas de seguridad para proteger los datos biométricos; iii) Llevar a cabo una evaluación de impacto. Con respecto a la primera de las exigencias (justificar la necesidad del uso de los datos biométricos), las empresas deben indicar un contexto específico o razón que precise del uso de los datos biométricos como identificadores. Algunos ejemplos podrían ser que los empleados hayan sido autorizados para usar una máquina peligrosa o acceder a objetos de valor o grandes sumas de dinero. Además, la empresa deberá demostrar por qué un método menos intrusivo (por ejemplo, una credencial o clave) no resulta suficiente. Finalmente, la empresa necesitará documentar su decisión (vid. normativa francesa).

 


Comentarios

Publicar un comentario

Gracias por suscribirte a #ElForodeLabos

Entradas populares de este blog

Sentencias sobre el derecho a la concreción horaria para la conciliación de la vida familiar y laboral: buena fe e indemnización por daños morales

Contratos temporales "inusualmente" largos: una oportunidad perdida

Consentimiento, Datos Personales y Cláusulas en el Contrato de Trabajo: ¿El inicio de una nueva época?