evaluación de impacto control laboral y datos biometricos

La sombra de la evaluación de impacto es alargada: Datos Biométricos y Control Laboral

En este post hablaremos de algún supuesto poco evidente pero que empieza a estar por todas partes, en el que será obligatorio hacer una evaluación de impacto (la suma de dato biométrico y control laboral). Y repasaremos brevemente esto de la adecuada legitimación de tratamientos de datos especialmente protegidos.

 

El bueno de Gustavo

Gustavo pensó que cuando las cosas van bien y tienes pasta, es cuando puedes tapar agujeros y pagar cosas que te hacían falta desde hace tiempo.

Y mejor aún, se decía Gustavo, si encima son modelnas y molonas.

No sé si Gustavo es director de RRHH de una empresa grande o el dueño y administrador único de una pequeña. Como veréis a continuación, no importa mucho.

Gustavo contrató el cacharro ese lector de huellas dactilares (las de reconocimiento facial, me sirven igual para el ejemplo). De entrada le serviría para librarse en el control de entrada de las tarjetitas magnéticas que utilizaba hasta ahora. Todo el mundo sabía que había muchos currelas listillos que se las intercambiaban y hacían trampa cuando les interesaba.

Pues ya no podrían, amigo. A ver cómo se intercambian ahora las yemas de los dedos…

Ya luego Gustavo se dio cuenta de que también le daría hecho el tema del chequeo de entrada y salida. Fastuoso.

 

¿¿Evaluación de impacto?? ¿¿Ezo qué-lo-que-é??

Como reza el conocido artículo 35 de la biblia europea de la privacidad (RGPD), todo tratamiento de datos personales que puede suponer un alto riesgo (con especial atención a las nuevas tecnologías) para los derechos y libertades de los interesados, implica la obligación de realizar una evaluación de impacto, es decir, una valoración extensiva, sería y pormenorizada que contenga, -entre muchos otros- los siguientes elementos:

  • Descripción del tratamiento
  • Análisis de la necesidad y proporcionalidad del tratamiento en atención a la finalidad perseguida y los derechos e intereses de los interesados (lo que viene siendo el juicio de ponderación)
  • Análisis de riesgos que pueden existir,
  • Concreción de medidas para mitigar esos riesgos (nunca desaparece del todo).

Hay más, y con mucha enjundia, pero con estos vamos buenos para lo que queremos decir.

 

La interpretación de los sumos sacerdotes europeos de la protección de datos

Los términos utilizados para describir los tratamientos que exigen evaluación de impacto son tantos y tan indeterminados, que se han tenido que promulgar:

  1. Unas directrices de interpretación del Comité Europeo de Protección de Datos (los “super-tacañones” de la protección de datos de Bruselas, o el órgano que aglutina a todas las autoridades de Protección de Datos).
  2. Cada Autoridad nacional estaba obligada a emitir un listado de tratamientos concretos que exigen evaluación de impacto. La AEPD no lo ha hecho.
  3. Sobre estos listados, el Comité Europeo de Protección de Datos ha emitido sendas opiniones sobre cada una de las listas poniendo los puntos sobre íes. No es que tengan que ser todos iguales, pero deben responder a los mismos principios. Y aquí está lo importante.

 

Datos biométricos

Sobre este tema, hay buenas y malas noticias para Gustavo.

El dato biométrico, que ya acojona por su nombre, esta protegido especialmente al ser un elemento de identificación único de la persona indeleble e inmutable (facciones de la cara o la huella digital).

Aunque puede que esto no sea tan convincente como parece por ser publicado en un blog del tres al cuarto y no en texto oficial, el Comité Europeo de Protección de Datos ha marcado dos criterios absolutamente nítidos en sus opiniones revisando los listados de tratamientos concretos sometidos a evaluación de impacto que decíamos:

1.- El tratamiento de datos biométricos con el único propósito de identificar de manera únivoca a una persona, por sí solo no representa necesariamente, un alto riesgo que obligue a realizar una evaluación de impacto.

evaluación de impacto control laboral y datos biometricos

Peeeeeero no se vayan todavía, aún hay más:

2.- Sí será obligatoria la evaluación de impacto cuando se realice conjuntamente con alguno más de los siguientes:

  • Control laboral (que implica dos de los criterios de las directrices del CEPD: evaluación sistemática y vulnerabilidad o desequilibrio de fuerzas en el titular de los datos tratados: el trabajador).
  • Datos de geolocalización (rastreo de la geolocalización o el comportamiento de un individuo, online u offline).
  • Datos genéticos (cualquier tratamiento de datos genéticos distinto del realizado por un profesional de la salud, para la prestación de asistencia médica directa al interesado). Se me ocurre como ejemplo esos análisis en prevención del doping a lo que están sujetos los deportistas profesionales…
  • Nuevas tecnologías Tratamiento que implique el uso de nuevas tecnologías o la aplicación novedosa de tecnologías ya existentes.
  • Tratamientos “invisibles” para el interesado: Tratamiento de datos personales que no se han obtenido directamente del interesado, y en circunstancias en las que el responsable del tratamiento considera que el cumplimiento de la obligación de información resultaría imposible o implicaría un esfuerzo desproporcionado (arts. 14.5 y 19 RGPD).
  • Tratamiento de datos de niños u otras personas vulnerables.

Atención: si Gustavo o tú no habéis oído nada de esto todavía, no es porque no sea obligatorio: es porque la AEPD española no emitió su listado de tratamientos, y por tanto el Comité Europeo no ha dictado una opinión sobre el listado español.

De otro modo, creo que sí hubiéramos oído algo. Vaya que sí.

 

¿¿Yo, evaluación de impacto?? ¡¡Que yo no soy Telefónica, majete!!

Gustavo, puede que no seas Telefónica, pero si captas un dato biométrico para identificar a tus trabajadores y controlar todos los días cuándo entran y salen de su centro de trabajo, tendrás que hacer una evaluación de impacto.

 

¿Por qué?

Porque no se trata de ti, grande pequeño o regular, no depende de tu tamaño como empresa.

Se trata de ellos: ellos son los titulares de los datos que de pronto tú decides tratar.

Se trata de saber si estás tratando datos excesivos o creando un riesgo desproporcionado para tus trabajadores, que normalmente no pueden elegir aceptar los tratamientos de la empresa o no.

Se trata de que, a través de la evaluación de impacto, entiendas qué supone ese nuevo tratamiento que quieres implementar, cómo funciona esa tecnología que empiezas a utilizar.

Esa tecnología que, aunque no sea de las novedosas a los efectos de hacer una evaluación de impacto o no, seguro que es bastante novedosa para ti: ¿dónde se almacenan las huellas de los trabajadores? ¿en local, en la nube? ¿Se almacena la huella en sí o su representación criptográfica? ¿Qué demonios es eso de la criptografía? ¿Qué pintan aquí esos algoritmos dichosos?.

Además, también tienes que tener en cuenta que, con toda probabilidad, la evaluación de impacto que tienes que hacer tú, no tiene que ser tan exigente y brutal como la que tendrá que hacer Telefónica para sus proyectos de biga data.

 

¿Y con esto ya estaría?

Sí, pero no te olvides de que el propio tratamiento de datos debe ser legítimo, es decir cumplir con una base de legitimación del artículo 9 del RGPD como dato de categoría especial que es, pero también con una de las de legitimación generales del artículo 6.

Porque las excepciones del art 9.2 no son bases de legitimación de tratamiento.

Son excepciones a la prohibición general de tratamiento de datos de categoría especial del art 9.1 RGPD.

La investigación científica, el control laboral, las finalidades de archivo, estadística, etc… no son bases de legitimación.

Pero esto ya se ha tratado largo y tendido en los posts “¡¡SÍ SE PUEDE!! Datos de Categoría Especial tratados sobre Interés Legítimo” y huella dactilar y RGPD.

Por ejemplo, podría justificarse el tratamiento en base al interés legítimo (artículo 6), pero sería necesario compaginarlos con una condición de las que figura en el artículo 9.

Añado feliz y contento que por fin la AEPD reproduce en sus escritos oficiales este criterio: lo hace en el informe sobre el art 58 bis LOREG.

Vean, vean.

evaluación de impacto control laboral y datos biometricos

 

Conclusión

El tratamiento de datos biométricos de los trabajadores (huella dactilar, reconocimiento facial) requieren dos requisitos fundamentales para poderse implementar lícitamente:

  • Realización de una evaluación de impacto, siempre que aparte de la mera identificación unívoca del trabajador, concurra alguno más de los criterios destacados por el Comité Europeo de Protección de Datos.
  • Una doble fundamentación: la concurrencia de una causa de legitimación general del artículo 6 RGPD y la de alguna de las excepciones del artículo 9 RGPD al tratarse de datos de categoría especial.

Muy buena semana.

 

Darío López Rincón                              Jorge García Herrero

 

(La fantástica fotografía de portada es de Srgpicker y la utilizamos de acuerdo con su licencia, agradeciéndole la posibilidad).