Controles de presencia biométricos en el trabajo, ¿son legales?
Cada vez con más frecuencia se está imponiendo la narrativa de cuán necesario es aplicar determinadas tecnologías. Este es el caso de la biometría, que en algunas empresas comienza implantarse para el control de presencia. Sin embargo, ¿esto realmente es así? Si en los años 80, España ya contaba con más de doce millones de trabajadores sometidos a control de jornada sin que ni siquiera hubiera llegado a nuestro país la tecnología biométrica, ¿por qué ahora nos quieren vender su necesidad?
Existe un gran desconocimiento acerca de los derechos que tenemos sobre nuestros propios datos personales, cediéndolos con demasiada frecuencia cuando, en realidad, no tenemos por qué hacerlo. Este desconocimiento se extiende en ocasiones a las mismas empresas; la diferencia es que en este último caso, están obligadas por ley a respetar nuestra privacidad.
Consciente de los riesgos que implica el uso de sistemas biométricos en el lugar de trabajo para realizar el control de presencia, la Agencia Española de Protección de Datos (AEPD) ha publicado una completa guía con la que intenta arrojar luz en esta materia. A fin de cuentas, desde 2016, la legislación europea se ha endurecido aún más, protegiendo nuestra privacidad, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD).
Retomando el inicio de este artículo, lo primero que habría que preguntar al empleador que pretende implantar un sistema biométrico es por qué lo hace, por qué ya no es suficiente con el sistema de control de presencia que se venía utilizando, como una tarjeta de empleado o sistemas contact-less, por ejemplo. Tendrá que justificarlo debidamente, pues uno de los principios básicos en la adopción de medidas que sacrifiquen nuestra privacidad es el de la proporcionalidad. No basta con escudarse en que la tecnología lo permite y cada vez resulta más asequible.
Tampoco es suficiente con que la empresa decida instalar el sistema. Previamente ha de realizar una gestión del riesgo, tal y como establece el artículo 24.1 del RGPD, y cuando los riesgos sean altos será imprescindible que supere favorablemente una Evaluación de Impacto para la Protección de Datos (EIPD) que incluya y también supere el triple juicio de idoneidad, necesidad y proporcionalidad. Cualquier empleado o empleada puede solicitar esta documentación y tomar las medidas oportunas si la empresa no cuenta con ella.
Además y aunque pudiera parecer una obviedad, no está de más recordar que los trabajadores y trabajadoras han de ser informadas de que están siendo sometidas a un control biométrico. Podría darse el caso que mediante videocámaras fueran sometidos a reconocimiento facial sin que tuvieran conocimiento de ello, lo que sería ilegal. No sólo han de tener conocimiento, sino que han de dar su consentimiento, pues que si bien están obligados por el Estatuto de Trabajadores a aceptar que se implante un control de presencia, no tienen por qué aceptar los sistemas biométricos. De hecho, han de conceder consentimiento libre, específico, informado e inequívoco. En este sentido, tal y como se recoge en la guía de la AEPD, la empresa habrá de establecer un método alternativo para poder realizar el control de acceso, sin tener ninguna consecuencia para la persona que no quiera utilizar el control de acceso mediante un tratamiento de datos biométricos.
La incorporación de otras tecnologías, como la Inteligencia Artificial (IA), incrementa aún más los posibles riesgos para nuestra privacidad. Así lo expone la guía al indicar que la IA permite inferir información adicional sobre el sujeto mediante incluso categorías de datos sensibles, utilizándose los datos biométricos de forma transversal entre múltiples servicios físicos y de internet. Por este motivo, es obligatorio utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada, así como eliminar todos los datos biométricos que no se vinculen a la finalidad que motivó su tratamiento.
Por otro lado, cuando una empresa almacena información biométrica de sus trabajadores y trabajadoras amplía la superficie de ataque, exponiéndose a brechas de seguridad informáticas. Este es uno de los motivos por los que el cifrado de la información es imperativo, protegiendo su confidencialidad, disponibilidad e integridad. Asimismo, a la adopción de IA le está acompañando también la de otras tecnologías como la automatización, eliminando la intervención humana. Sin embargo, en estos sistemas de control de presencia es más que cuestionable esta automatización puesto que cuando esta toma de decisiones automatizadas pueda tener efectos jurídicos sobre el interesado –que por ejemplo prohíba el acceso al lugar de trabajo, con la consiguiente falta o pérdida de sueldo-, está expresamente prohibida.
Lamentablemente, estamos demasiado habituados a ceder información personal para acceder a determinados servicios en internet. No debiéramos caer en este error cuando nuestro empleador pone en riesgo nuestra privacidad de manera injustificada. No debiéramos pensar que tenemos menos derechos de los que realmente tenemos.
Sin comentarios