De Alvear
>
Conocimiento
>

Tratamiento de datos biométricos y videovigilancia en el ámbito laboral

Análisis de la resolución de la AEPD sobre el uso de datos biométricos y videovigilancia en el control horario laboral, principios y consecuencias legales.

José Domínguez
|
18 de diciembre de 2024

La Resolución EXP202304834 de la Agencia Española de Protección de Datos (AEPD) aborda un caso de tratamiento de datos biométricos y el uso de sistemas de videovigilancia por parte del Colegio Notarial de Aragón para el control horario y de acceso de sus trabajadores. La AEPD analiza la legalidad del tratamiento conforme al Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y otras normas complementarias aplicables al ámbito laboral.

A continuación, se realiza un análisis exhaustivo y objetivo de los hechos, los fundamentos jurídicos y las conclusiones de la AEPD, exponiendo también sus posibles consecuencias en el ordenamiento jurídico y la práctica empresarial.

1. Antecedentes del caso

La actuación de la AEPD tiene su origen en una reclamación presentada el 7 de marzo de 2023 por un trabajador del Colegio Notarial de Aragón (en adelante, el “Colegio”). Los hechos denunciados fueron:

  • La implantación de un sistema de control horario basado en la huella dactilar de los trabajadores sin haber realizado, según el reclamante, una adecuada evaluación de impacto en protección de datos.
  • La instalación de cámaras de videovigilancia en zonas que el trabajador consideraba de uso exclusivo para empleados.

En su defensa, el Colegio alegó lo siguiente:

  • La finalidad del sistema biométrico era controlar el horario y garantizar el cumplimiento de las obligaciones laborales, conforme al Real Decreto-Ley 8/2019 sobre registro horario.
  • El sistema de videovigilancia se instaló por razones de seguridad y no afectaba espacios exclusivos de los trabajadores.
  • Se realizó una evaluación de impacto que concluyó que el tratamiento era necesario y proporcional.

No obstante, durante el procedimiento, el Colegio decidió desinstalar el sistema biométrico y destruir los datos obtenidos, alegando problemas técnicos y las recomendaciones emitidas en la “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” de la AEPD.

2. Cuestión jurídica

La AEPD debió determinar:

  1. Si el tratamiento de datos biométricos por parte del Colegio cumplió con las disposiciones del RGPD, en particular con el artículo 9, que regula las categorías especiales de datos.
  2. Si la instalación de cámaras de videovigilancia respetó los principios de legalidad, minimización y proporcionalidad exigidos por el RGPD y la LOPDGDD.

3. Análisis del tratamiento de datos biométricos

3.1. Naturaleza de los datos biométricos

El artículo 4.14 del RGPD define los datos biométricos como aquellos obtenidos mediante un tratamiento técnico específico relativos a características físicas, fisiológicas o conductuales que permiten la identificación unívoca de una persona. En el presente caso:

  • El sistema instalado por el Colegio utilizaba la huella dactilar para registrar las entradas y salidas de los trabajadores.
  • El almacenamiento se realizaba en forma de plantillas biométricas cifradas, imposibilitando la obtención de la imagen real de la huella.

La AEPD concluye que, al permitir la identificación inequívoca del trabajador, se trata de categorías especiales de datos personales, cuya protección está regulada por el artículo 9 del RGPD.

3.2. Prohibición general y excepciones del artículo 9 RGPD

El artículo 9.1 del RGPD establece la prohibición general de tratar datos biométricos salvo que concurran alguna de las excepciones del artículo 9.2. El Colegio alegó que el tratamiento se justificaba por la excepción recogida en el artículo 9.2.b (cumplimiento de obligaciones laborales).

La AEPD, sin embargo, argumenta:

  • El uso de sistemas biométricos debe ser necesario y proporcional.
  • El Colegio no demostró que otras alternativas menos intrusivas, como tarjetas o códigos, no fueran viables.
  • El principio de minimización (artículo 5.1.c del RGPD) exige limitar el tratamiento a los datos estrictamente necesarios para la finalidad perseguida.

Por tanto, la AEPD concluye que el tratamiento no cumple con los requisitos del artículo 9.2 del RGPD, al no ser necesario ni proporcional.

3.3. Evaluación de impacto en protección de datos (EIPD)

El artículo 35 del RGPD establece la obligación de realizar una evaluación de impacto cuando un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas. El Colegio alegó haber realizado una EIPD previa, pero la AEPD considera que:

  • La EIPD no justificó adecuadamente la necesidad del sistema biométrico.
  • No se evaluaron de forma suficiente alternativas menos intrusivas.

4. Análisis de las cámaras de videovigilancia

La AEPD también analizó la instalación de cámaras de videovigilancia en el Colegio. Los puntos clave de su análisis son:

  1. Finalidad del tratamiento: el Colegio justificó la instalación por razones de seguridad de personas e instalaciones.
  2. Ubicación de las cámaras: la AEPD verificó que las cámaras no grababan zonas de uso exclusivo de los trabajadores (vestuarios, zonas de descanso, etc.).
  3. Deber de información: el Colegio cumplió con el artículo 12 del RGPD, colocando carteles informativos visibles que indicaban la existencia del sistema y los derechos de los interesados.

La AEPD concluye que el tratamiento de videovigilancia cumple con los principios de legalidad, proporcionalidad e información, y no constituye una infracción.

5. Conclusiones de la AEPD

Tras el análisis de los hechos y los fundamentos jurídicos, la AEPD concluye lo siguiente:

  1. Tratamiento de datos biométricos: el uso del sistema de control horario basado en la huella dactilar no se ajustó a las exigencias del RGPD, al vulnerar:
    • El artículo 9.1 (prohibición del tratamiento de categorías especiales de datos).
    • El principio de minimización (artículo 5.1.c del RGPD).
    • La obligación de justificar la necesidad y proporcionalidad del tratamiento.
  2. Cámaras de videovigilancia: el sistema instalado cumple con la normativa aplicable, al estar justificado por razones de seguridad y respetar los principios de información y proporcionalidad.

Como resultado, el Colegio procedió a desinstalar el sistema biométrico y a destruir las plantillas biométricas almacenadas.

6. Consecuencias jurídicas y prácticas

La resolución de la AEPD tiene importantes implicaciones:

6.1. Para las organizaciones

  • Se refuerza la necesidad de evaluar alternativas menos intrusivas antes de implementar sistemas biométricos.
  • Las organizaciones deben justificar de manera rigurosa la necesidad y proporcionalidad del tratamiento de datos biométricos.
  • La realización de una evaluación de impacto es obligatoria para este tipo de tratamientos.

6.2. Para los trabajadores

  • Se garantiza una protección reforzada de los datos biométricos, al considerarse categorías especiales de datos.
  • Se reafirma el derecho de los trabajadores a un control horario menos invasivo.

6.3. Impacto en la jurisprudencia

  • La resolución sienta un precedente relevante en la interpretación del artículo 9 del RGPD y los principios de minimización y proporcionalidad.
  • Refuerza las recomendaciones de la AEPD sobre el uso de tecnologías biométricas en el ámbito laboral.

7. Conclusión

La Resolución EXP202304834 de la AEPD declara que el tratamiento de datos biométricos del Colegio Notarial de Aragón vulneró el RGPD al no ser necesario ni proporcional, mientras que el sistema de videovigilancia instalado cumplió con las exigencias legales. Esta decisión refuerza la protección de los datos biométricos y establece criterios claros para su utilización en el ámbito laboral, consolidando los principios de minimización de datos y proporcionalidad previstos en el RGPD.