Indemnización al trabajador por «maltrato biométrico laboral»

 

El tratamiento ilícito de datos biométricos («maltrato biométrico») en el ámbito laboral estalla por donde menos imaginábamos: la indemnización por daños y perjuicios, como daño moral en la vía laboral.

 

El caso: indemnización por maltrato biométrico

Una sentencia del Juzgado de lo social nº2 de Alicante reconoce 6.200 euros de indemnización a un trabajador que fue objeto de un tratamiento biométrico que infringía la normativa de protección de datos personales.

La empresa captó la imagen de sus 470 trabajadores para usos promocionales en redes sociales, pero las utilizó mediante un sistema de reconocimiento facial para controlar el cumplimiento de su jornada laboral. No se informó de este tratamiento, no había base legal para realizarlo, ni se realizó evaluación de impacto. 

La AEPD propuso sanción sólo porque no se hizo la preceptiva evaluación de impacto.

La empresa abonó 12.000 euros de forma voluntaria.

La sanción propuesta, de 20.000 euros no era por tratamiento prohibido de datos especialmente sensibles del art 9.1 Reglamento General de Protección de Datos, ni por falta de información preceptiva, sino solamente por no realizar la preceptiva evaluación de impacto.

La sanción, en rigor, podría haber sido de escándalo.

Pero el mismo trabajador, ni corto ni perezoso, demandó ante la jurisdicción laboral la tutela de sus derechos fundamentales infringidos por la empresa, y -esto es lo grasioso-, solicitó la indemnización de daños y perjuicios.

La sentencia le ha reconocido una indemnización por daños morales de 6.251 euros.

La empresa tiene una plantilla de 470 personas. Imagínense que todos demandan y obtienen la misma indemnización.

 

Pudo ser peor

No es tanto dinero: está lejos de los 228 millones de dólares de indemnización que cosecharon 45.600 empleados de la primera empresa condenada por tratamientos biométricos en incumplimiento de la Biometric Information Privacy Act (BIPA) en Texas, EEUU en octubre de 2022.

Dejemos la parte novedosa, la de la indemnización, para el final del post: es relevante empezar por el principio para entender la magnitud de este «cisne negro».

 

¿EL CONTROL DE ACCESO O DE FICHAJE HORARIO POR HUELLA DACTILAR O RECONOCIMIENTO FACIAL ES UN TRATAMIENTO DE DATOS BIOMÉTRICOS?

El tema de la biometría ha sido polémico desde el primer día de vigencia del RGPD.

La conveniente distinción “autenticación”/ ”identificación»

El art. 9.1. RGPD establece que

“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.”

De acuerdo con el texto subrayado anterior, desde 2019, se popularizó la interpretación en cuya virtud, lo biométrico no era el dato en sí, sino su tratamiento. Y que el tratamiento sólo estaba prohibido si identificaba al interesado “uno frente a n posibles candidatos” y no si simplemente autenticaba su identidad declarada con su propio dato personal (“uno frente a uno”).

Es decir:

La AEPD distinguía entre tratamiento de (i) «autenticación» (la empresa grababa la plantilla biométrica de tu cara o dedo y después verificaba si tu dedo o cara coincidía con esa única plantilla comparación uno contra uno) e (ii) «identificación» (se compara tu cara contra toda una base de datos para identificarte).

Sólo este último se consideraba tratamiento biométrico, con su régimen jurídico agravado (están prohibidos salvo en contadas excepciones y su uso requiere en general una evaluación de impacto previa).

 

Confusión en el EDPB

La cosa ha llegado a tal punto que hasta el EDPB estaba más perdido que Frodo en una joyería:

Por ejemplo, en las directrices sobre asistentes de voz de 2021, en un lugar se dice:

“The EDPB recalls that voice data is inherently biometric personal data.”

 

…y más adelante declara lo contrario:

 

GDPR considers that the mere nature of data is not always sufficient to determine if it qualifies as special categories of data since “the processing of photographs […] are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person.” (recital 51) The same reasoning applies to voice.”

 

¿Qué es lo último que ha dicho el EDPB? (septiembre 2023 edition)

En 2022, las directrices 5/2022 sobre reconocimiento facial con finalidades de law enforcement o policía, dieron un golpe de timón diametral en este asunto:

“While both functions – authentication and identification – are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore constitute a processing of personal data, and more specifically a processing of special categories of personal data.”

Este párrafo ha sido confirmado en la versión definitiva de esas guidelines, en mayo de 2023. El EDPB ha dejado claro que ambas modalidades son tratamientos biométricos.

Hay más:

Específicamente para la cuestión planteada, esas guidelines 5/2022 también declaran que un responsable que pretendiera legitimar el tratamiento biométrico de imágenes hechas manifiestamente públicas por el interesado (de acuerdo con el art. 9.2.e) RGPD) sólo podría hacerlo si el interesado hubiera publicado deliberadamente no sólo la imagen convencional de su rostro, sino también la plantilla biométrica del mismo, en un fuente pública y abierta.

En toda la boca.

 

¿Qué dice el TJUE?

Por otro lado, hay que tener en cuenta que el TJUE viene haciendo una interpretación marcadamente extensiva del concepto de datos de categoría especial en su jurisprudencia más reciente, extendiendo la protección del art. 9 no solo a los datos sensibles que directamente se obtienen y observan del interesado, sino a cualesquiera otros que se pueden inferir directamente de otros datos ordinarios.

 

¿Qué dice la AEPD? “Lo que usted diga, Señoriiitaaaa”

La AEPD no ha hecho un pronunciamiento definitivo (ni ha actualizado su Guía de Protección de datos en las Relaciones Laborales), pero ya anunció en resoluciones como esta que seguiría la interpretación del EDPB en este tema.

Y ya han visto cuál es esa interpretación: tanto la autenticación como la identificación son tratamientos de datos biométricos. Y repetimos, en esos casos:

• Hace falta realizar una evaluación de impacto sobre el tratamiento
• Además (o como parte de esa evaluación de impacto) hay que legitimar el tratamiento y encontrar una excepción del art 9.2 RGPD que levante la prohibición general de tratar datos biométricos.

 

Y para esto hay soluciones. Otra cosa es que gusten más o menos a la empresa.

Entonces ¿Qué ha dicho el juzgado de lo social de Alicante?

El juzgado de lo social de Alicante:

• Se limita a tomar nota del tratamiento de datos biométricos realizado por la empresa (no en vano la empresa pagó voluntariamente reconociendo la responsabilidad ante la AEPD)
• Cuantifica la indemnización de daños y perjuicios en función de la cuantía mínima para la sanción de las infracciones muy graves de la LISOS: exactamente 6.251 euros que la empresa deberá pagar como “indemnización del daño moral”.
• La infracción muy grave elegida es la del art. 8.11: “actos del empresario que fueran contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores”.

 

El RGPD consagra el derecho a la indemnización de daños y perjuicios…

El art. 82.1 RGPD reconoce categóricamente el derecho de toda persona “que haya sufrido daños materiales e inmateriales como consecuencia de una infracción del reglamento a recibir una indemnización por los daños o perjuicios sufridos”.

 

… pero el problema es su cuantificación

Estos daños son difíciles de cuantificar o justificar, y además la jurisprudencia española es rácana en general y prácticamente virgen en materia de protección de datos.

Cuando se produce la infracción de la normativa de protección de datos, o más bien, la lesión del derecho de protección de datos personales de una sola persona, no es nada fácil argumentar o cuantificar una cifra exacta de indemnización de los daños y perjuicios causados. ¿Por qué?

• Porque el perjuicio causado a una sola persona y el beneficio obtenido por el infractor son asimétricos: puede ser que tus datos en solitario no valgan mucho y sólo en combinación con los de muchas personas más, similares o diversas, sean útiles para el infractor.

 

Pensemos en Facebook o Google. Curiosamente Facebook siempre ha llegado a acuerdos en casos de demandas masivas.

Muy al estilo de lo que hicieron las tabacaleras durante años, intentan evitar a toda costa precedentes judiciales que cuantifiquen su responsabilidad.

• Porque los daños y perjuicios pueden no ser evidentes o inmediatos: los datos filtrados por una entidad pueden no permitir la suplantación de tu identidad, hasta que no son combinados con los de otra entidad o los que ya estuvieran en poder del atacante.

 

Por ejemplo, los datos de visitas a centros donde se practicaban abortos se volvieron sensibles de pronto, cuando esta práctica se ilegalizó en muchos estados de los EEUU.

 

Primera indemnización por daño moral de cuantía significativa… en materia de protección de datos

En conclusión, esta sentencia con este importe, es pionera en España y concretamente en el orden laboral, ámbito donde se producen constantes infracciones de la normativa de protección de datos, y en la que no se contemplan condenas en costas para el trabajador demandante, puede abrir un verdadero tsunami de demandas de indemnización.

Pero donde hay vida hay esperanza: alguien que hile fino podría decir que aquí no hay lesión del derecho de la intimidad o propia imagen: recuerden la anésdota de Manuel Fraga Iribarne bañándose en bolas: recuerden que intimidad y protección de datos personales son cosas parecidas, pero muy distintas.

El caso de este trabajador es igualmente elocuente: el «maltrato biométrico» de sus datos personales no afecta en nada a su intimidad, a su honor o a su propia imagen (por mucho que así lo diga el Fiscal y el Juez): es una lesión pura de su derecho a la protección de sus datos personales: su derecho a controlar quién los trata, para qué, o con quién los comparte.

 

¿Qué será será?

Recuerden el caso de las cámaras de reconocimiento facial que instaló Mercadona “para proteger a sus cajeras” y que fue objeto de procedimiento sancionador por la AEPD que se saldó con el “pago voluntario” (y reconocimiento de responsabilidad) de 2.000.000 euros (sanción: 3.150.000 de euros).

Piensen por un momento en el destrozo económico si todas las personas (empleados pero también clientes) cuyas imágenes fueron captadas por esas cámaras con capacidad de reconocimiento facial, hubieran demandado daños y perjuicios.

 

Jorge García Herrero

Abogado y Delegado de Protección de datos