Europa prohibeix l’empremta dactilar per fitxar a la feina

04 Dec Europa prohibeix l’empremta dactilar per fitxar a la feina

Els sistemes de control biomètric d’entrada han estat al focus de la polèmica des que es va obligar les empreses a registrar la jornada dels empleats. La seva normativa ha estat subjecta a guies, normatives i fins i tot lleis, que no han deixat de canviar i complicar-se des dels seus inicis, creant inseguretat jurídica que pot desembocar en multes severes.

Per resumir la darrera polèmica en quatre paraules: si una empresa utilitza un sistema de reconeixement d’empremta dactilar per fitxar a l’entrada o sortida, incompliria la normativa de l’Agència Espanyola de Protecció de Dades (AEPD), i l’empresa podria ser sancionada perquè utilitzar l’empremta dactilar és il·legal fins i tot quan l’empleat ha donat el seu consentiment d’ús. Però, tal com destaquen des d’Audens, no sempre ho ha estat.

Al juliol de 2007 el Tribunal Suprem dictava sentència considerando que utilitzar l’empremta dactilar per al control horari no era una mesura excessiva, i lús a aquesta tecnologia no estava limitat per cap norma. El novembre del 2012 s’aplicaven canvis en l’ article 20.3 del Reial Decret Legislatiu 2/2015 indicant que “L’empresari podrà adoptar les mesures que estimi més oportunes de vigilància i control per verificar el compliment pel treballador de les seues obligacions i deures laborals”. És a dir, que l’empresari podia continuar utilitzant el registre de jornada per l’empremta dactilar de forma legal.

El 2016 es publica el Reglament General de Protecció de Dades (RGPD), i s’hi inclouen els sistemes d’identificació per empremta dactilar i dades biomètriques com a “categoria especial”, diferenciant els usos d’”identificació” i “autenticació”. El RGPD diu: “No obstant això, i amb caràcter general, les dades biomètriques únicament tindran la consideració de categoria especial de dades en els supòsits en què se sotmetin a tractament tècnic dirigit a la identificació biomètrica (un-a-diversos) i no en el cas de verificació/autenticació biomètrica (un a un)”.

Això implica que el sistema de registre de jornada per empremta dactilar vindria a verificar la identitat d’un empleat prèviament registrat és present, amb la qual cosa no incorre en els supòsits d’identificació sinó en els d’autenticació, i queda fora de “categoria especial”. Per tant, en aquest supòsit, el registre per empremta dactilar encara s’ajusta a la doctrina del Tribunal Suprem i en manté la legalitat.

A l’abril del 2023, el Comitè Europeu de Protecció de Dades va confirmar unes directrius que llençaven per terra les instruccions del Tribunal Suprem i de l’Agència Espanyola de Protecció de Dades. En aquestes directrius s’unifica el criteri d’autenticació i d’identificació que l’AGPD havia mantingut separat ficant tots dos en “categoria especial” per al tractament de dades.

L’ article 12 d’aquesta directriu del Comitè Europeu de Protecció de Dades diu:” Si bé ambdues funcions (autenticació i identificació) són diferents, totes dues es relacionen amb el processament de dades biomètriques relacionades amb una persona física identificada o identificable i, per tant, constitueixen un tractament de dades personals , i més concretament un tractament de categories especials dinformació personal”.