Los métodos de control de acceso han estado en el centro de debates desde que se instauró la obligación para las empresas de registrar las horas laborales de sus empleados.

Sin embargo, parece que se cumple lo que muchos sospechaban:  el uso de sistemas de reconocimiento de huella dactilar para registrar la entrada o salida de los empleados podría infringir las normativas de la Agencia Española de Protección de Datos (AEPD).

Aunque en julio de 2007, el Tribunal Supremo determinó que el uso de la huella dactilar para controlar el horario laboral no era una medida excesiva y no estaba limitado por ninguna normativa específica, con la introducción del Reglamento General de Protección de Datos (RGPD), se categorizó los sistemas de identificación mediante huella dactilar y datos biométricos como información de «categoría especial». La diferenciación entre «identificación» y «autenticación» se convirtió en un punto crucial. El RGPD estableció que los datos biométricos se considerarían de esta categoría solo cuando fueran tratados técnicamente para la identificación biométrica y no para la verificación/autenticación biométrica.

Este enfoque diferenciado implicaba que el sistema de registro de jornada por huella dactilar se enfocaba en únicamente verificar la identidad de un empleado ya registrado, lo que lo excluía de la categoría de «identificación» y lo clasificaba como «autenticación», quedando fuera de la consideración de «categoría especial» según el RGPD.

Sin embargo, en abril de 2023, el Comité Europeo de Protección de Datos emitió directrices que consideraron ambos criterios de autenticación e identificación como tratamiento de datos de «categoría especial».

Esta modificación en el enfoque de autenticación e identificación llevó a la AEPD a cambiar sus directrices y publicar una Guía sobre el uso de sistemas biométricos para el control de presencia. Esta guía establece que este tipo de tratamiento de datos biométricos se considera de «categoría especial» y enfatiza la imposibilidad de justificar su necesidad según lo requerido por el RGPD, incluso con el consentimiento de los trabajadores.

Por lo tanto, bajo esta nueva interpretación de la AEPD, se insta a las empresas a reemplazar los sistemas de registro biométrico, como el reconocimiento de huella dactilar o facial, por métodos que no impliquen el uso de datos biométricos. Esta directriz es de aplicación inmediata, lo que implica que cualquier empresa que utilice estos sistemas biométricos en 2023 puede enfrentar sanciones por parte de la AEPD, independientemente de su legalidad al momento de la instalación inicial.

No obstante, recordemos que las guías de la AEPD son orientaciones y no tienen rango de norma por lo que es probable que tengamos que esperar a pronunciamientos judiciales o de las propias resoluciones de la AEPD para consolidar lo anteriormente expuesto.

En Type of Legal somos expertos en materia de privacidad y nuevas tecnologías. Para más información sigue el siguiente link.