Europa recula y prohíbe que los trabajadores hagan sus fichajes con huella digital

En el ámbito laboral, la gestión de la asistencia y los horarios de los trabajadores ha evolucionado con la tecnología, incluyendo sistemas de control biométrico que utilizan características físicas únicas como huellas dactilares o rasgos faciales. A pesar de su conveniencia, su adopción ha generado dudas y preocupaciones desde 2007, cuando el Tribunal Supremo consideró que no era una medida excesiva. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha modificado su postura sobre estos sistemas, reflejada en su nueva Guía sobre Tratamientos de Control de Presencia mediante Sistemas Biométricos.

Los trabajadores no podrán fichar con su huella digital

Todas las empresas deben llevar un control horario de sus trabajadores, pudiendo elegir entre diversos métodos como aplicaciones móviles, sistemas informáticos, tarjetas o registros en papel. Sin embargo, el uso de datos biométricos, como huellas dactilares o faciales, está siendo cuestionado por la AEPD.

La normativa europea ha prohibido el uso de huellas dactilares y reconocimiento facial en los controles de acceso laboral, instando a las empresas a buscar alternativas que resguarden la privacidad del personal.

En abril de 2023, el Comité Europeo de Protección de Datos estableció una directriz unificada sobre autenticación e identificación en el RGPD. En esta directriz se establece que tanto la autenticación como la identificación, aunque funciones diferentes, están vinculadas al procesamiento de datos biométricos relacionados con una persona física identificada o identificable. En consecuencia, ambas funciones se consideran un tratamiento de datos personales, específicamente un tratamiento de categorías especiales de información personal.

A pesar de haber sido un método usado desde 2007 por su seguridad, estas regulaciones recientes protegen la privacidad ante amenazas actuales de usurpación.

Estos sistemas, ahora considerados una ‘categoría especial de información personal’, no pueden emplearse para fichar en el trabajo debido a la falta de justificación en la recogida de dichos datos, aunque seguirán utilizándose en ámbitos de interés público o seguridad.

Fue en 2016 cuando se estableció el Reglamento General de Protección de Datos, clasificando el sistema de reconocimiento de huella dactilar como ‘categoría especial’ debido a la sensibilidad de los datos recogidos, como las huellas. No obstante, el uso de estos datos solo para la identificación del empleado puede seguir siendo considerado legal. La situación cambiaría si el sistema identificara biométricamente al empleado, ya que este último caso sí sería considerado de ‘categoría especial’.

Asimismo, la AEDP insiste en la importancia de realizar evaluaciones de impacto antes de la implementación de sistemas biométricos y que el uso de esta tecnología esté completamente alineado con las regulaciones establecidas en el Reglamento General de Protección de Datos (RGPD).

Cabe destacar que en 2019, ciberdelincuentes accedieron a una base de datos biométrica, exponiendo 28 millones de registros que incluían huellas dactilares de más de un millón de personas, así como otra información como fotos faciales, nombres de usuario y contraseñas. Además, en 2021, piratas informáticos expusieron datos biométricos, información de tarjetas de crédito, números de licencia de conducir, datos de seguro médico y otros detalles de clientes de una empresa.

En definitiva, la directriz del Comité Europeo de Protección de Datos que clasifica el reconocimiento de huellas dactilares como tratamiento de datos personales de ‘categoría especial’ impone a las empresas que actualmente emplean este sistema la obligación de implementar otro método de identificación que se ajuste a la normativa vigente.

De acuerdo con las regulaciones actuales, a excepción de situaciones especiales como las relacionadas con la seguridad, el uso del reconocimiento de huella dactilar o facial está prohibido. El no acatar estas regulaciones podría resultar en sanciones por parte de la AEPD si se presenta alguna denuncia, dado que estarían incumpliendo las disposiciones legales en materia de protección de datos.