FSC-CCOO País Valencià | 17 d?abril 2024.

CCOO reclama ajustar los sistemas de "control de asistencia" a medios que no afecten a los datos biométricos de las personas.

    CCOO lanza una campaña en todas las administraciones locales y empresas municipales del Pais Valenciano para que el sistema de "control de asistencia" deje de realizarse mediante huella dactilar o control facial. Lo que en su día hace mucho tiempo, cuando empezó esta moda, fue denunciado por CCOO y juzgado por los tribunales ajustado a derecho, ahora las nuevas pautas establecidas por la Unión Europea en pro de la protección de la privacidad y los derechos individuales en el ámbito laboral reconocen que este sistema no es apropiado.

    17/01/2024.
    STOP. Defendamos los talleres culturales.

    STOP. Defendamos los talleres culturales.

    D………………………………………………………….., en calidad de ………………………………… de CCOO por la presente y en virtud de lo establecido en Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) en lo relativo al fichaje y control de presencia laboral utilizando datos biométricos tanto por huella digital como por rasgos faciales,

     

    EXPONE:

     

    1.- El RGPD define el art. 4 .14 datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

    2.- El art. 5 apartado 1 letra c del RGPD concreta que los datos serán: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”

    El considerando 39 explica muy claramente que unos datos que no son necesarios para cumplir con la finalidad del tratamiento no deben ser tratados: “…Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios…”. Así pues, los datos que se traten han de ser limitados a lo necesario para conseguir los fines del tratamiento.

    3..- Se entiende como identificación y autentificación biométricas, según lo establecido en el Reglamento 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, la identificación electrónica como el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica y la autenticación como un proceso electrónico que posibilita la identificación electrónica de una persona física o jurídica, o del origen y la integridad de datos en formato electrónico. Es decir, esta norma considera a la autenticación como un proceso electrónico que posibilita la identificación.

    4.- La Agencia Española de Protección de Datos publicó en mayo de 2021 la guía “La Protección de Datos en las Relaciones Laborales”, en la que se abordaba en el apartado “Los datos biométricos” del capítulo 4.6 el empleo de biometría en la implementación de los tratamientos de registro de presencia. En el texto se interpretaba la autenticación biométrica fuera de las categorías especiales de datos. Sin embargo, esta interpretación ha sido superada por las Directrices antes citadas, por lo que la interpretación de esta AEPD ha de adaptarse a las Directrices del CEPD mencionadas de 26 de abril de 2023 y es por ello que se ha de considerar que, al igual que en el caso de identificación, la autenticación biométrica es un proceso que implica el tratamiento de categorías especiales de datos personales.

    5.-Abundando en lo anterior, debemos reconsiderar la interpretación realizada por esta AEPD en el apartado “Los datos biométricos” del capítulo 4.6 de la Guía “La Protección de Datos en las Relaciones Laborales” de mayo de 2021; y, como también concluye el Consejo de Transparencia y Protección de Datos, en su Dictamen 1/2023, “Relativo al tratamiento de categorías especiales de datos biométricos mediante el uso de dispositivos de reconocimiento facial y/o huella dactilar para el control horario del personal de un Ayuntamiento”, en la actual normativa legal española no se contiene autorización suficientemente específica alguna para considerar necesario el tratamiento de datos biométricos con la finalidad de un control horario de la jornada de trabajo. La autorización suficientemente específica no se encuentra para el personal laboral, puesto que los artículos 20.3 y 34.9 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, no contienen tal autorización. Tampoco para el personal sometido a una relación jurídica administrativa al no constituirse en necesaria habilitación la previsión relacionada con el cumplimento de jornada y horario a la que alude el art. 54.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público (EBEP), aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre.

    6.- Entrando a analizar si el control de presencia laboral por análisis de datos biométricos es una práctica de alto riesgo en relación a la restricción de derechos y libertades cabe recordar que las Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo, Versión 2.0 Adoptado el 29 de enero de 2020, por el Comité Europeo de Protección de Datos, en el apartado 5.1 “Consideraciones generales con respecto al tratamiento de datos biométricos” manifiesta la importancia la evaluación del riesgo, de un análisis de la necesidad, de la proporcionalidad y la aplicación de la minimización de datos. Estas condiciones, que son directamente aplicables para las operaciones biométricas mediante reconocimiento facial en tratamientos de control de presencia, se pueden extender al empleo de otros sistemas biométricos para implementar dicho tratamiento: “El uso de datos biométricos y, en particular, del reconocimiento facial conllevan elevados riesgos para los derechos de los interesados. Es fundamental que el recurso a dichas tecnologías tenga lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD. Aunque la utilización de estas tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos de lograr su fin legítimo del tratamiento.”

    7.- Es por ello que la agencia española de protección de datos hace una serie de advertencias y conclusiones en la GUÍA SOBRE TRATAMIENTOS DE CONTROL DE PRESENCIA MEDIANTE SISTEMAS BIOMÉTRICOS publicada por la Agencia Española de protección de datos (AEPD) en noviembre de 2023 en las que cabe destacar que en la implementación del tratamiento de control de presencia hay que cumplir los principios de minimización y de protección de datos desde el diseño y por defecto, utilizando las medidas alternativas equivalentes, menos intrusivas, y que traten los menos datos adicionales. Además, expresa que es necesario que exista una circunstancia para levantar la prohibición de tratar las categorías especiales de datos y, además, una condición que legitime el tratamiento.

    ·      En el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que no se encuentra en la actual normativa legal española.

    ·      En el caso de registro de jornada o control de acceso en el ámbito laboral, el consentimiento no puede levantar la prohibición del tratamiento, ni ser una base para determinar la licitud, al existir de forma general una situación de desequilibrio entre el interesado y el responsable del tratamiento.

    ·      Para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición según el art.9.2 del RGPD. El consentimiento tampoco lo podrá ser, al resultar un tratamiento de alto riesgo, y que tendría que superar el requisito de necesidad establecida para dichos tratamientos.

     

    Y es por todo lo expuesto por lo que se SOLICITA:

     

    1.- La búsqueda de alternativas para el control de acceso que no involucren el uso de datos biométricos hasta que no exista una norma que modifique el marco jurídico actual siguiendo las nuevas pautas establecidas por la Unión Europea en pro de la protección de la privacidad y los derechos individuales en el ámbito laboral.

    2.- Se incorpore en la próxima Mesa General de Negociación dentro del Orden del día el estudio y puesta en marcha de un sistema de control de presencia que no comprometa datos biométricos, acorde con el cambio de criterio expresado por la AEPD.