Datos biométricos en la empresa (Ojo al Dato)
Ayer vimos la noticia de la instalación del sistema de reconocimiento facial para el control de fichaje del personal sanitario en el Hospital Gómez Hulla.
El enlace al podcast (a partir del minuto 1:04:20).
Puedes encontrar aquí todos los audios de Ojo al Dato).
Los datos biométricos, datos de categoría especial
Una de las novedades del reglamento de protección de datos fue la calificación de los datos biométricos como datos de categoría especial: datos que están especialmente protegidos y como sabemos, su tratamiento está prohibido en general.
El tema es especialmente inquietante cuando se controlan espacios abiertos por reconocimiento facial, como ocurre en China o, por ir más cerca, en la Estación Sur de autobuses Méndez Alvaro en Madrid. Porque te están controlando sin que lo sepas siquiera. Pero de esto hablaremos otro día.
Los controles de acceso por huella dactilar (quiere decir, que te dejen entrar o no) estaban ya bastante extendidos, y empezaban a extenderse cosas como el control de fichaje por reconocimiento facial (quiere decir que te registren el momento de entrada y salida simplemente acercando tu cara a una pantalla).
La nueva prohibición general obligó a estudiar la posible regularización de estas tecnologías.
La legalidad del uso de tecnologías pasadas en el tratamiento de datos biométricos, en formato 10 minutos, tiene dos desafíos:
- El primero es encontrar una base de legitimación adecuada.
- El segundo es ser capaz de acreditar que el tratamiento biométrico es necesario y proporcional. Ya que lo difícil es ser capaz de justificar que no existe otro medio que ofrezca el mismo resultado, sin tener que tratar nuestros datos biométricos.
La principal problemática se da en el ámbito laboral, porque casi todos esos lectores de huella dactilar se habían instalado sin justificación alguna, y todo lo más, se le había presentado un papel al trabajador diciendo mira “firma aquí que consientes el tratamiento de la huella de tu dedito”.
Pero ya sabemos que el consentimiento no cabe en general en el ámbito laboral, porque se entiende que, cuando hay mucha disparidad de fuerzas entre las partes (aquí el trabajador y el empresario), es poco probable que el consentimiento sea realmente “libre”: se entiende que el trabajador consentirá cualquier cosa que le pongan por delante.
No todo van a ser malas noticias
Durante 2020 la Agencia de Protección de datos tiró un par de salvavidas de los buenos a las empresas en este tema:
- Distinguiendo entre “identificación” (que es lo que sucede cuando comparas una imagen una de huella dactilar contra una base de datos entera, que es por ejemplo lo que hace la policía cuando intenta identificar un delincuente) y “verificación de identidad” (primero se graba tu huella “esta es la huella de Carlos” y luego sólo se comparar la huella del dedo de Carlos, con la grabada. Porque aquí se trata de verificar si eres quien dices ser).
- La Agencia dijo que, si sólo se autentica o verifica la identidad, no aplican las restricciones agravadas de datos especialmente sensibles.
- Por otro lado, en una resolución de julio, la agencia reconoció la posibilidad de utilizar estos sistemas para el control del cumplimiento de jornada en virtud del contrato laboral con cada trabajador.
La prueba del algodón: el algodón no engaña
Merece la pena añadir un par de cosas:
La conveniencia o necesidad de hacer una evaluación de impacto, dependiendo de los casos (una evaluación de impacto es un espacio análisis de riesgos de 360 grados sobre los riesgos jurídicos y técnicos derivados de la implementación del tratamiento de datos de los que quepa esperar especial exclusividad o amplio perímetro de tratamiento).
Parece evidente que la Agencia española quería echar un capote a la multitud de empresas que habían implementado estos sistemas con la mejor voluntad y sin pararse a pensar en las derivadas en materia de protección datos personales. Por comparar, la autoridad francesa o la catalana no han sido tan flexibles.
Lo cierto es que, en la actualidad, la existencia de estos cacharrejos y el cuidado que se haya puesto en su legitimación (el esfuerzo invertido en la información, justificación y revisión del perímetro de los mismos) es como la prueba del algodón.
Es uno de los mejores termómetros de cumplimiento en materia de protección de datos (de cumplimiento, en general, diría yo).
Porque es super habitual que la empresa haya seleccionado simplemente al proveedor más barato, no se haya interesado lo más mínimo ni pueda explicar cómo funciona exactamente el cacharrito, qué se almacena y dónde, cómo se protegen los datos, quién tiene acceso a los mismos, durante cuánto tiempo.
Sobre todo, hay que ver si está justificado como Dios manda, por qué ya no son suficientes las tarjetas con las que se venía fichando toda la vida de Dios y de repente no se puede vivir sin el nuevo cacharrito que te lee el dedo, la mano, el iris o la cara.
Y estas empresas están expuestas, porque el demonio (del bioalcohol) siempre está en esos detalles.
Si surge un problema -por ejemplo, si un trabajador denuncia-, a ninguna empresa le será suficiente con hacerse a un lado, encogerse de hombros y señalar al proveedor tecnológico para que contesta todas las preguntas.
Porque, como vimos con la sanción a Vodafone la semana pasada, la responsabilidad no se puede subcontratar.
Jorge García Herrero
Abogado y Delegado de Protección de Datos
(la imagen es de freepik.es)