La AEPD adapta la “guía de protección de datos en las relaciones laborales” a las Directrices del Comité Europeo de Protección de Datos e incluye entre los datos de categorías especiales, cuyo tratamiento está prohibido, los datos biométricos dirigidos a identificar de manera inequívoca a una persona física, como son la voz, el reconocimiento facial o de iris y la huella dactilar.
Tratamiento de datos biométricos
La AEPD adapta la “guía de protección de datos en las relaciones laborales” publicada en 2021 a las Directrices 5/2022 del Comité Europeo de Protección de Datos (CEPD) sobre el uso de reconocimiento facial. Incluye, ahora, entre los datos de categorías especiales, los datos biométricos dirigidos a identificar de manera inequívoca a una persona física, como pueden ser la voz, el reconocimiento facial o de iris y la huella dactilar, entre otros (RGPD art.9.1).
El tratamiento de estos datos está prohibido tanto a efectos de identificación como de autenticación o verificación de las personas. Únicamente puede excepcionarse esta prohibición cuando exista una norma de rango legal o convencional o exista consentimiento explícito del interesado.
En relación con el registro de jornada y control de acceso con fines laborales, no existe norma legal en España que habilite el uso de los datos biométrico. Las facultades de dirección y control del empresario y la obligación de registro de jornada recogidas, respectivamente, en los art.20.3 y 34.9 del ET no contienen autorización suficientemente específica para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. Tampoco el consentimiento del interesado levanta la prohibición del tratamiento de registro de jornada implementado con técnicas biométricas con carácter general, pues se produce un desequilibrio de poder entre empleado y empleador que hace que este consentimiento no se proporcione libremente. Además, no superaría el requisito de necesidad pues podría utilizarse cualquier otro medio menos intrusivo.
Para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición, ni tampoco el consentimiento.