Lo que dice la Agencia Española de Protección de Datos de la Comunidad de Madrid
La implantación de un sistema de control de asistencia de los trabajadores de un Centro a través de la huella digital implica la creación de un fichero de datos de carácter personal.
La Agencia procede a no iniciar un procedimiento de infracción contra un Centro integrado en el Servicio Madrileño de Salud, dependiente de la Consejería de Sanidad y Consumo, como consecuencia del escrito presentado por el Presidente del Comité de Empresa de dicho Centro en el que se denunciaba la intención de implantar un control de presencia de los trabajadores basado en la comprobación de la huella digital de los mismos.
Antecedentes
Se recibió en la Agencia de Protección de Datos de la Comunidad de Madrid un escrito de D. XXXX, Presidente del Comité de Empresa de un Centro integrado en el Servicio Madrileño de Salud, en el que denunciaba que la Dirección de dicho Centro había decidido instalar un sistema de control de presencia del personal basado en la toma de datos biométricos, concretamente la huella digital de los trabajadores.
D. XXXX indicaba en su escrito que, teniendo las huellas digitales la consideración de datos de carácter personal, su recogida sólo sería admisible cuando los datos fueran adecuados, pertinentes y no excesivos, debiéndose ajustar a las finalidades determinadas y explícitas para las que se hubieran obtenido, siendo necesario solicitar el consentimiento inequívoco del afectado para la obtención y tratamiento de dichos datos de carácter personal, salvo que la ley dispusiera otra cosa, de conformidad con el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD en adelante). Asimismo señalaba en su escrito que no se había dado cumplimiento al derecho de información reflejado en el artículo 5 de la LOPD.
Además exponía en el escrito por un lado, que el artículo 44.3.a) de la citada LOPD, tipifica como infracción grave, proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos sin autorización de disposición general publicada en el BOE o Diario Oficial correspondiente, y por otro lado que el artículo 4.1.e) del Estatuto de los Trabajadores, establece el derecho de los mismos al respeto a su intimidad y a la consideración debida a su dignidad, tipificando en su artículo 96.11 como infracción muy grave, los actos contrarios al respeto a la intimidad y consideración debida a la dignidad de los trabajadores.
Por todo esto D. XXX solicitaba en su escrito que la Agencia de Protección de Datos de la Comunidad de Madrid se manifestara sobre la legalidad del uso de los datos biométricos y si dicho uso estaba incluido dentro de las finalidades declaradas en los ficheros de personal del Centro registrados en la citada Agencia.
Seguidamente la Agencia solicitó informe al Director-Gerente del Centro denunciado sobre la finalidad del fichero de datos de carácter personal en el que iban a ser almacenados los datos de la huella digital de los trabajadores del Centro, sobre la norma de creación de dicho fichero y sobre las medidas de seguridad que le iban a ser aplicadas.
A este requerimiento respondió el Director-Gerente del Centro con un escrito en el que ponía de manifiesto que se había decidido la implantación de un mecanismo de control de puntualidad y asistencia así como de acceso al Centro que permitiera la identificación inequívoca de cada trabajador mediante un sistema que no almacenaba la huella digital en ningún archivo de datos personales, sino que asociaba cada huella con un código numérico y funcionaba verificando únicamente la correspondencia de dicho código con una clave personal que cada trabajador introducía tras mostrar la huella. Los datos recogidos (hora de entrada y salida, accesos al Centro y a áreas de seguridad biológica) sólo serían usados para la finalidad declarada de control de asistencia y puntualidad, y se almacenarían exclusivamente durante la duración del contrato, protegidos por sistemas de seguridad para evitar el riesgo de accesos no autorizados.
La Dirección del Centro tuvo en consideración la reclamación realizada por el Comité de Empresa y con el fin de verificar la normativa al respecto, se decidió conjuntamente con el Departamento de Recursos Humanos, realizar el control de asistencia y puntualidad mediante la firma de los trabajadores hasta aclarar la factibilidad del sistema de control a través de la huella digital.
Fundamentos de Derecho
El artículo 2.1 de la LOPD establece que dicha ley es de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptible de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado, definiendo en su artículo 3 a) los datos de carácter personal, como cualquier información concerniente a personas físicas identificadas o identificables. Los datos biométricos pueden identificarse con rasgos fisiológicos o del comportamiento de una persona viva, y son considerados por lo tanto datos de carácter personal.
En los sistemas que utilizan datos biométricos el usuario somete una muestra, una imagen o una grabación del elemento biométrico, recogida a través de dispositivos tales como una cámara, un micrófono o un scanner para ser procesada y extraer la información sobre las características propias y distintivas de la persona.
En este caso, a pesar de que en el informe del Director-Gerente del Centro se sostenía que los datos de la huella digital de los trabajadores no eran tratados, en la práctica la huella digital al ser mostrada sería transformada en un código que identificaba a un trabajador, y éste se asociaba con la clave que el trabajador introducía tras mostrar la huella, por lo que en definitiva sí se estaban tratando datos de carácter personal que hacían identificable a cada persona. De esta manera sería necesario crear, por un lado, un fichero en el que se asociaran los datos identificativos de los trabajadores (códigos, huellas y claves), y otro en el que se asociaran los trabajadores con los datos relativos al control horario.
En definitiva, la implantación de ese sistema implicaba que las huellas de los trabajadores sí que iban a ser tratadas debiéndose crear los correspondientes ficheros de datos de carácter personal, o modificar los apartados de los ya declarados, dado que ninguno de los ficheros del Centro que se encontraban inscritos en el Registro de Ficheros de Datos de Carácter Personal de esta Agencia cumplía tenía la finalidad de realizar el control horario de los trabajadores del citado Centro.
El artículo 4.1 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, establece que la creación de ficheros de datos de carácter personal incluidos en el ámbito de aplicación de la Ley se realizará mediante disposición de carácter general que será publicada en el Boletín Oficial de la Comunidad de Madrid o en el Diario Oficial que corresponda. El procedimiento de creación de estos ficheros se encuentra desarrollado en el Decreto 99/2002, de 13 de junio, de regulación del procedimiento de elaboración de disposiciones de carácter general de creación, modificación y supresión de ficheros que contienen datos de carácter personal, así como su inscripción en el Registro de Ficheros de Datos Personales.
Asimismo, y de conformidad a lo dispuesto en el artículo 5 de la LOPD que regula el derecho de información en la recogida de datos, cuando tuviera lugar la recogida de las huellas para la elaboración de los ficheros, los trabajadores del Centro debían ser informados de modo expreso, preciso e inequívoco de los siguientes aspectos: de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; del carácter obligatorio o facultativo de su respuesta a las preguntas que sean planteadas; de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
A la vista del marco jurídico descrito y de la documentación obrante en el expediente, teniendo en cuenta que según el informe del Director-Gerente del Centro el control de asistencia y puntualidad se estaba realizando mediante firma y no se estaba utilizando el sistema de identificación a través de la huella digital, se debía proceder al archivo del procedimiento.
No obstante lo anterior y sin perjuicio de que la Agencia de Protección de Datos de la Comunidad de Madrid no era competente para valorar cómo debía llegarse al acuerdo dentro del Centro sobre la implantación de un sistema de control horario, en el caso de que finalmente se acordara la utilización del sistema de control mediante la huella digital, se deberían crear dos ficheros de datos de carácter personal, uno relativo a la recogida de la huella digital de los trabajadores, y otro relativo al control horario a través de un código asociado a la huella digital, ficheros que deberían elaborarse de conformidad a lo dispuesto en el citado Decreto 99/2002, de 13 de junio.
Resolución
Vistos los preceptos citados, el Director de la Agencia de Protección de Datos de la Comunidad de Madrid decidió proceder al archivo de las actuaciones.
Aquí algún dato mas que puede servirte de ayuda:
La utilización de sistemas biométricos están cada vez más aceptados a nivel legal, no obstante
la solicitud de este tipo de datos por parte del Centro Dental está limitado a la finalidad para la
que se obtienen los datos personales. La Ley establece la posibilidad de utilizar este tipo de
datos como lo puede ser, en este caso, la huella dactilar, no obstante aclara la normativa que
debe de existir una causa justificada para proceder a su recaudación. Se quiere decir con
esto que no se pueden implantar sistemas nuevos sin necesidad, es decir, si el sistema que
actualmente se está utilizando en el Centro es adecuado y, por tanto, pertinente para el
correcto funcionamiento, la implantación de un sistema biométrico debe de estar perfectamente
justificada de manera que sin ella el Centro no pueda operar correctamente.
Por tanto, la utilización de los sistemas biométricos en principio está permitido por Ley, con
las consecuencias que se derivan de la LOPD, al estar dentro del campo de actuación de la
normativa por considerarse un dato de carácter personal. Sin embargo, hay que tener una
justificación bien detallada del por qué de su utilización y que, por tanto, no suponga un
exceso de información, porque de ser así, se considerará de oficio y se procederá a su
posterior cancelación.
Los sistemas biométricos son considerados a efectos de la normativa española y europea
como sistemas que identifican a las personas físicas. En este sentido, hemos de considerar la
utilización de estos sistemas como datos relativos a la información personal.
Tal y como se especifica en el Informe del Comité Consultivo de la Convención 108 del
Consejo de Europa relativa a los principios de la recogida y al proceso de los datos
biométricos, concretamente en su artículo 5º, letra b), los datos de carácter personal deben ser
procesados para unas finalidades determinadas y legítimas. Optar por utilizar los datos
biométricos implica determinar y explicitar la finalidad de su proceso. Lo importante que hemos
de extraer de aquí, por tanto, es que su obtención debe ser justificada y por tanto necesaria.
En este sentido, el Comité Consultivo de la Convención, especifica que antes de recurrir a la
biometría, el responsable de proceso debería evaluar por una parte las ventajas e
inconvenientes posibles para la vida privada de la persona afectada y, por otra parte, las
finalidades previstas, así como tener en cuenta posibles soluciones alternativas que supongan
un menor atentado contra la vida privada.
Aclara, por tanto, este mismo órgano, que no se debería optar por la biometría únicamente por
el hecho de que su uso resulte práctico. En efecto, la utilización de la biometría puede atentar
contra la dignidad humana.
Otro punto que aclara el Comité, y que ya ha sido comentado anteriormente, es que los datos
deberán ser ADECUADOS, PERTINENTES y NO excesivos en comparación con la finalidad.
Comentario que queda recogido igualmente, a nivel nacional, en la LOPD.
Por tanto, y al tratarse de datos de carácter personal la persona afectada deberá ser
informada de la FINALIDAD del sistema y de la IDENTIDAD del responsable, así como de las
personas a las que se comunicarán esos datos.
Se entendió por la Agencia Española de Protección de Datos que los datos biométricos tenían
la condición de datos de carácter personal y que, dado que los mismos no contienen ningún
aspecto concreto de la personalidad, limitando su función a identificar a un sujeto cuando la
información se vincula con éste, su tratamiento no tendrá mayor trascendencia que el de los
datos relativos a un número de identificación personal, a una ficha que tan solo pueda utilizar
una persona o a la combinación de ambos.
Entendiendo, por tanto, los datos biométricos como datos que pueden perfectamente identificar
a una persona y por tanto pertenecer estos a la información privada de ésta, se ha de estar a
las disposiciones que al respecto establece la LOPD. En este sentido hay que INFORMAR al
afectado, obtener su consentimiento y tener capacidad legal para tratar esos datos. Habrá
que estar a todas las obligaciones establecidas en esta normativa de rango legal en relación al
tratamiento de los datos y a las medidas de seguridad aplicables a los mismos.
Lo dicho anteriormente en relación a lo establecido en la Convención 108, queda igualmente
regulado en la normativa española de protección de datos en cuanto a la calidad de los datos.
En este sentido establece, concretamente en su artículo 4º que “los datos de carácter personal
sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando
sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que se hayan obtenido”.
Con todo lo dicho, y a modo de conclusión, la instalación de sistemas biométricos en el Centro
Dental, es un supuesto que, de manera genérica, se encuentra regulado y permitido en la
normativa aplicable, no obstante no hay que olvidar que dicha instalación debe ser SIEMPRE
por una finalidad que NO pueda obtenerse mediante otros medios que resulten menos
intrusivos para la finalidad de las personas y por tanto deben estar justificados.
LEGISLACIÓN APLICABLE:
Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos.
Convención 108 del Consejo Europeo para la protección de las personas respecto al
proceso automatizado de los datos de carácter personal.
Informe del Comité Consultivo de la Convención relativo a la recogida y al proceso de
datos biométricos.
|
el ejemplo que has expuesto se puede extrapolar perfectamente a la situación actual en mi trabajo.
