La obligación de fichar con tu huella en el trabajo podría tener los días contados: esto dicen las nuevas normas

La Agencia Española de Protección de Datos cambia la normativa de los sistemas de control biométrico para evitar los riesgos de privacidad, por consiguiente, las empresas deben optar por métodos alternativos de registro que sean menos invasivos.

Cualquier trabajador tiene una tarjeta de empresa para acceder a su puesto de trabajo y registrar su entrada y salida, pero algunas entidades apuestan por la tecnología y poseen sistemas de control biométrico de entrada para registrar la jornada o controlar el horario de los empleados.

Por si no estás puesto en el ámbito tech, un sistema de control biométrico es una herramienta que utiliza características físicas de una persona —como la huella dactilar o los rasgos faciales— para realizar funciones específicas, como por ejemplo, fichar con su huella al inicio y al final de la jornada laboral. En un principio, este método ofrece una forma eficiente de controlar la asistencia, sin embargo, el uso de los datos biométricos plantea cuestiones significativas que están relacionadas con la protección de datos y la privacidad de los usuarios.

Puede resultar sorprendente o no, pero esto último estaba en el punto de mira de la Agencia Española de Protección de Datos (AEPD, por sus siglas), debido a que la normativa de los sistemas de control biométrico estaba sujeta a guías y leyes que cambiaban constantemente. Por consiguiente, para acabar con las dudas, dicho organismo público modificó su criterio respecto al uso de estas herramientas, considerándolas como sistemas prohibidos en su reciente ‘Guía Tratamientos de control de presencia mediante sistemas biométricos’.

¿El motivo? Esto se debe a que dicha tecnología “permite recoger información sin la cooperación de la persona”, pero más allá de esta justificación, la normativa “busca equilibrar la eficiencia operativa con la protección de la privacidad y los datos personales de los empleados” afirma Carlos Mochón, CTO (Chief Technology Officer, por sus siglas en inglés) del Grupo SPEC, a 20bits.

Para ello, Mochón señala que hay dos técnicas:

“La primera, una evaluación rigurosa de impacto, donde antes de implementar sistemas biométricos, las empresas deben realizar evaluaciones de impacto detalladas que consideren tanto la necesidad operativa como los riesgos para la privacidad“.
Y “la segunda, siguiendo con el cumplimiento del Reglamento General de Protección de Datos (RGPD, por sus siglas), las empresas deben garantizar que cualquier uso de tecnología biométrica se alinee con las regulaciones del RGPD, que priorizan la protección de datos personales. Después, teniendo consideración de alternativas menos intrusivas; se alienta a las empresas a explorar y, si es posible, adoptar métodos alternativos de registro y control que sean menos invasivos en términos de privacidad”.
Además, el CTO añade que se debe tener en cuenta “el principio de transparencia y consentimiento”, ya que “las empresas deben ser transparentes sobre el uso de datos biométricos y, en muchos casos, obtener el consentimiento explícito de los empleados”.
Entonces, ¿estamos ante el fin definitivo de los datos biométricos para fichar en el trabajo?

Para aclarar las dudas, Mochón explica que “la normativa no implica un fin definitivo del uso de datos biométricos en el trabajo, sino que establece un marco más riguroso para su uso. Se requiere una justificación sólida para su aplicación, garantizando que se priorice la privacidad y seguridad de los datos de los empleados, y en caso de no obtener una evaluación de impacto favorable, se consideren alternativas menos intrusivas”.

Por lo tanto, ¿es cierto que existe alguna excepción a la nueva normativa de la AEPD? Estas incluyen situaciones donde una evaluación de impacto detallada justifique la necesidad de su uso por razones de seguridad o eficiencia operativa, siempre y cuando se apliquen medidas de seguridad adecuadas y se respete la privacidad de los empleados, puntualiza el CTO.

Las empresas tienen que utilizar “tecnologías seguras”

A esta pregunta, Mochón responde que “la normativa y guía actuales se aplican a todas las tecnologías biométricas, sin distinguir entre sistemas avanzados y seguros que impiden la replicación de huellas o rostros. Creo que la regulación no debería ser tan estricta y generalizarse a todos los tipos de biometría. Sería preferible permitir tecnologías demostrablemente seguras, que no comparten, ni almacenan ni procesan imágenes reales de datos biométricos. De esta manera, se podría considerar una aproximación más matizada y específica para diferentes niveles de tecnología biométrica”.

No obstante, para instaurar tecnologías seguras, las empresas podrían apostar por los sistemas basados en tarjetas de proximidad o aplicaciones móviles con tarjetas virtuales a través de Bluetooth o NFC, debido a que ofrecen métodos de identificación eficientes para evitar los posibles riesgos asociados con el tratamiento de datos biométricos.

Si una empresa sigue usando los datos biométricos para el control horario de los empleados, ¿a qué tipo de sanciones se enfrenta?

“Las empresas que emplean sistemas biométricos para el control horario y no han realizado una evaluación de impacto, o han obtenido resultados desfavorables en dicha evaluación pero continúan usando estos sistemas, podrían afrontar sanciones serias, éstas incluyen la posibilidad de ser sancionadas con multas considerables. Además, podrían sufrir daños en su reputación y en la confianza tanto de sus empleados como de sus clientes”, indica Mochón.

Por otro lado, la AEPD zanja en la ‘Guía Tratamientos de control de presencia mediante sistemas biométricos’ que “en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo”.