Control biométrico laboral (y cumpliendo!) = This is the way
Control biométrico laboral. Y cumpliendo: This is the way
El camino del Mandaloriano no es fácil: exige sacrificios y altos estándares éticos.
“This is the way”
Resumamos la movida en diez puntos:
Indice
- Uno.- Un tranvía llamado «Guía de la AEPD»
- Dos.- Pasarse dos pueblos y una gasolinera
- Tres.- De las palabras a los hechos
- Cuatro.- La amenaza fantasma
- Cinco.- El consentimiento de los trabajadores: ¡Qué tema!
- Sexto.- El convenio colectivo ya no es lo que era
- Séptimo.- The “Oompa Loompa Sitiueishion”
- Octavo.- “This is the way”
- Noveno.- Golden ticket para el “problema Oompa Loompa”
- Décimo.- Nos vemos en Legaltechies
Uno.- Un tranvía llamado «Guía de la AEPD»
La última Guía de la AEPD sobre controles biométricos de presencia ha pillado a contrapié a la mayoría de los profesionales de protección de datos personales, por no hablar de las empresas que los utilizaban (y siguen utilizando).
No a nosotros: esto es lo que enviamos en septiembre de 2023 a los selectos destinatarios de nuestra newsletter privada:
El 95% de los controles biométricos en el contexto laboral han quedado en situación de ilegalidad
Recordemos: cualquier tratamiento ilícito de datos personales del trabajador es reclamable en esta vía, pero los tratamientos biométricos merecen un comentario específico: en mayo de 2023, el EDPB cambió su doctrina sobre el tema.
A consecuencia de este cambio se puede afirmar tajantemente que la gran mayoría de los controles biométricos (huella dactilar, reconocimiento facial) en funcionamiento en España son ilícitos.
Dos.- Pasarse dos pueblos y una gasolinera
La AEPD en su guía adoptó las novedades marcadas por el EDPB y el TJUE.
Pero no se quedó ahí: se pasó de frenada: puso en entredicho en todo caso el uso del consentimiento explícito del interesado.
Es decir, se llevó por delante esa minoría de casos de uso en los que, seguramente, la necesidad del control biométrico sí estaba justificada.
Tres.- De las palabras a los hechos
Más aún, la AEPD ha pasado de las palabras a los hechos. Sólo en las últimas semanas, y en relación con estos tratamientos:
- ha prohibido cautelarmente la captura y tratamiento de datos biométricos a WorldCoin
- ha publicado una sanción de 50.000 euros a un gimnasio, y
- una advertencia a LaLiga de Fútbol Profesional en relación con un proyecto de control por reconocimiento facial del acceso de aficionados a estadios.
Cuatro.- La amenaza fantasma
El riesgo para las empresas que siguen utilizando estos controles, no es sólo el de la sanción administrativa de la AEPD.
Una empresa de 50 trabajadores puede comerse una sanción de unos 50.000 euros.
Pero ese no es el mayor riesgo.
El problema es que el trabajador que consiga una resolución sancionatoria de la agencia (o un reconocimiento de responsabilidad de la empresa para beneficiarse de los descuentos en la multa, algo harto probable) puede afrontar responsabilidades de 6.200 euros por trabajador, hasta sumar más de 350.000 €.
El tema de las indemnizaciones reconocidas por la jurisprudencia laboral lo traté por aquí.
Y recuerden:
- Al trabajador no le imponen costas por muy loca que sea su demanda.
- Además está el factor del desapego laboral (véase el punto séptimo).
Cinco.- El consentimiento de los trabajadores: ¡Qué tema!
Hemos detectado el principal foco de dificultad en el entorno laboral, en el que concurren dos problemas distintos:
- El de “proporcionalidad”: es decir, que la empresa tiene que demostrar que no puede utilizar otros medios que cumplan la misma finalidad perseguida, sin crear el riesgo propio de los controles biométricos en términos de privacidad.
- El de la “libertad del consentimiento del trabajador”: Por defecto las autoridades consideran que la libertad del consentimiento del trabajador está “bajo sospecha” dado el desequilibrio contractual existente con el empleador: hablando en plata: entienden que el trabajador va a consentir todo lo que le pidas, por miedo al despido.
Sexto.- El convenio colectivo ya no es lo que era
Incluso la vía hasta ahora más segura, la de la regulación de estos controles vía convenio colectivo, se ha endurecido por la AEPD, que exige ahora que se especifiquen los “supuestos, perímetro de tratamiento, consecuencias y garantías aplicables al tratamiento”.
Pocos convenios en vigor superan este listón.
Séptimo.- The “Oompa Loompa Sitiueishion”
El problema jurídico se vuelve especialmente espinoso en relación con los trabajadores de las contratas.
En este caso, la empresa realiza un control biométrico con un trabajador con el que no tiene vínculo contractual directo, lo que dificulta la legitimación del tratamiento.
Además está el factor del desapego laboral, que incrementa el riesgo de denuncia: el trabajador subcontratado no tiene el mismo “apego” con la empresa que el que tiene vínculo directo con ella. Y la perspectiva de más de 6000 euros de indemnización cobra atractivo.
Octavo.- “This is the way”
Tenemos una vía jurídica que consideramos jurídicamente segura y rigurosa (se basa en la literalidad de distintas guidelines del Consejo Europeo de Protección de Datos –EDPB-) para legitimar controles biométricos de presencia, a pesar de la reciente guía de la AEPD de 2023.
Nuestro análisis se centra en el entorno laboral, porque creemos que es donde más difícil lo ha puesto la Autoridad española, pero es extrapolable a otros.
Noveno.- Golden ticket para el “problema Oompa Loompa”
Como estamos hablando de ámbito laboral, también ofrecemos una vía para legitimar los controles biométricos que una empresa hace sobre trabajadores que no son los suyos, sino de otras empresas contratadas (ej: subcontratas de limpieza o mantenimiento, consultores varios, auditores…), con los que, por tanto, no tiene vínculo laboral directo.
Décimo.- Nos vemos en Legaltechies
Desarrollamos nuestro planteamiento en una exposición de una hora, dividida en tres vídeos:
- Antecedentes,
- La solución “this is the way” para el control biométrico
- La solución para gestionar lo de los Oompa Loompas (Contratas)
Dejando la humildad a un lado: entendemos que nuestros argumentos son mucho más rigurosos que los que se han publicado hasta ahora. Y que permitirán cumplir la norma a las organizaciones que realmente lo necesiten.
Por esta razón ofrecemos estos vídeos en la plataforma Legaltechies de mi amigo Jorge Morell a un precio moderado.
Jorge García Herrero
Abogado y Delegado de Protección de Datos