Legítimo comprobar las presencias con la huella digital.
El Reglamento General de Protección de Datos consiente en determinados casos el recurso de los datos biométricos.
El auto del 15 de octubre de 2018 n. 25686 del Tribunal Supremo, ha confirmado la legitimidad de la orden judicial con la que el garante de la protección de datos (RGDP) impuso la multa a una empresa que había adoptado una tarjeta de identificación basada en datos biométricos (huella digital transformada en algoritmo), que permitía de identificar al trabajador que había tenido acceso a un lugar de la empresa. El Tribunal Supremo no ha impugnado en absoluto la legitimidad en sí del tratamiento del dato biométrico del empleado, reconociéndolo realizado “en cumplimiento del objetivo declarado en sí legítimo de comprobar las presencias”, ha estigmatizado como el empleador no había realizado la comunicación previa al garante, según el Art. 37 D.Leg. n°. 196 del 2003.
Se señala que el citado Artículo 37 ha sido abolido por el Art. 27, párrafo 1, letra. a), n. 2), D.Leg. 10 agosto 2018, n. 101, es decir por el Decreto Legislativo de aplicación del Reglamento UE 679/2016: el llamado Reglamento General de Protección de Datos (RGDP). La decisión del Tribunal Supremo ha sido por tanto en contra de la empresa sólo porque era relativa a una sanción de hace seis años (11-11-2012).
La normativa vigente sobre la privacidad (véase al respecto el Art. 9 del RGDP), aún no aprobado el tratamiento de “datos biométricos destinados a identificar de manera inequívoca a una persona física”, lo permite en algunos casos particulares: a) presencia de un acuerdo entre las partes con aprobación del interesado a dicho tratamiento; b) necesidad de proteger un interés vital del interesado o de otra persona física que se encuentre en una situación de incapacidad, física o jurídica, de conceder explícitamente su consentimento para el tratamiento en cuestión; c) para aceptar o hacer valer un derecho, ante los tribunales o extrajudicialmente; d) por motivos de especial interés público y a efectos de la protección de la salud; e) en el marco de las relaciones laborales y de seguridad social.
El RGDP, en el marco de las relaciones laborales, no prohíbe por consiguiente el recurso a los datos biométricos, siempre que el tratamiento en cuestión sea lícito incluso en virtud del primer párrafo letra f del Art. 6 del RGDP que lo conecta a la búsqueda de un interés legítimo.
En el presente caso, el legítimo interés subsiste y está relacionado con la grabación de las entradas y presencias de los trabajadores. A la misma, en virtud del segundo párrafo del Art. 4 de la Ley 300/70, como narrado por el D.Leg 151/2015, no se aplica de por sí ni siquiera lo establecido en el primer párrafo del mencionado artículo, que implica la existencia de un acuerdo sindical o de una autorización administrativa de la Oficina de Inspección Laboral.
Por otra parte, se observa, por exhaustividad, que siempre que la tarjeta de identificación en funcionamiento, por sus características técnicas, estaba en condiciones de detectar no sólo la entrada y salida de la empresa, sino también las suspensiones, los permisos y los descansos (quizás comparando al momento los datos de todos los empleados), sería fundamental una función de control a distancia del cumplimiento del horario de trabajo y de la correcta ejecución de la prestación laboral. En este caso, se consideraría por consiguiente necesario el previo acuerdo sindical o en su defecto la autorización administrativa prevista por el Art.4 citado (véase Supremo 17531/2017; Supremo 9904/2016; Supremo 2531/2016).
En el marco de las relaciones laborales el recurso del tratamiento de los datos biométricos es entonces por regla general posible, con o sin acuerdo sindical o la opción de autorización administrativa. Sin embargo es aconsejable efectuar la evaluación de impacto prevista por el primer punto del séptimo párrafo del Art.35 RGDP cuando un determinado tratamiento, que conlleve el uso de nuevas tecnologías, pueda “presentar un riesgo elevado para los derechos y las libertades de las personas físicas”. Dicha evaluación de impacto consiste en una descripción del tratamiento efectuado, de sus objetivos, de los riesgos para la privacidad y de las medidas adoptadas para abordar dichos riesgos. (LC)
