El instituto policlínico demandado, dedicado a la prestación de servicios médicos y sanitarios, había instalado un sistema de control horario previo, adecuado y comunicado al Comité de Empresa, que tuvo que suspenderse por la crisis sanitaria de la Covid-19. Posteriormente, dicho Comité puso de manifiesto, una vez transcurrida la misma, la necesidad de instalar un nuevo registro de jornada (en idéntico sentido, la Inspección de trabajo emitió acta en la que requería a la empresa para implementar un sistema que cumpliese con los requisitos normativos).
En relación con este nuevo sistema biométrico a implantar, se han aportado durante el procedimiento, diversos informes técnicos elaborados con ocasión del análisis del mismo, en los que se indicaba que “el sistema de control biométrico […] en cuanto riesgo de implantación de identidad, es el que tiene un «riesgo muy bajo y de mayor eficacia” o que las medidas de seguridad aplicadas son robustas, puesto que la información no puede ser utilizada para otros fines, los datos almacenados se eliminan automáticamente después de un periodo determinado o están encriptados.
Habida cuenta de la implementación del sistema de huella digital para el registro de jornada, se interpuso demanda por el Comité de Empresa por entender que el mismo no era legal, puesto que tanto el EDPB o la AEPD habían publicado normativa o guías en las que prohibían este tipo de sistemas de control horario. Así, en la misma se solicitaba, entre otras cuestiones, que se interrumpiese dicho sistema por cuanto con ello se estaban tratando datos biométricos de los empleados, pudiéndose llevar a cabo el control de jornada mediante otros sistemas alternativos como, por ejemplo, “los lectores de tarjetas NFC; llamadas telefónica, apps móvil con posibilidad de geolocalizaciones; lectura de TAGs desde el móvil; lectura de códigos QR desde el móvil etc”.
El Juzgado recoge en su sentencia que el Estatuto de los Trabajadores establece la obligación de garantizar el registro diario de jornada. Así, en relación con el Instituto Policlínico, indica que, al ser un centro hospitalario, debe cumplir una serie de medidas de seguridad muy especiales. En relación con el tratamiento de datos biométricos, cita el Reglamento de Inteligencia Artificial, declarando que “el uso de tecnologías como […] los datos biométricos, con la finalidad de la identificación o la verificación de la identidad, de forma no remota y con la participación activa del interesado, generan un riesgo bajo o inexistente para los derechos y libertades de los interesados.”
Respecto a la Guía de la AEPD, se afirma que esta no forma parte del sistema normativo, sino que es un documento con carácter orientativo que no tiene fuerza vinculante, sin que su razonamiento se pueda aplicar a todas las casuísticas. Así, se expone que dicha guía recomienda la realización de una Evaluación de Impacto, de un análisis de riesgo o la valoración de posibles alternativas, “pero en ningún caso prohíbe el uso de medios biométricos para el control de acceso”.
Habida cuenta de lo anterior, concluye que si bien la huella es un dato sensible, se ha acreditado que su tratamiento en el hospital tiene amparo legal y está justificado, sin que la plantilla que se recoge tenga valor identificativo (no se almacena la imagen de la huella completa), habiéndose informado previamente a todos los empleados y existiendo un control de uso que es poco invasivo, por lo que es un tratamiento idóneo y proporcionado (se han reducido los riesgos inherentes gracias a las medidas de seguridad aplicadas) para la finalidad perseguida.
En este sentido, de las evaluaciones de impacto realizadas por el hospital, se ha alcanzado la conclusión de que el sistema permite evitar la comisión de fraudes de suplantación de identidad, lo que es transcendental en este tipo de responsables del tratamiento, ya que permite garantizar la seguridad de la asistencia sanitaria, así como el acceso adecuado a zonas de medicamentos y productos sanitarios.
En relación con los medios alternativos propuestos, se indica que, a diferencia de la autoridad de control, hay otros organismos oficiales que sí aceptan el tratamiento de estos datos biométricos como el CNIP (que recomienda como buena práctica este tipo de controles) o el Consejo Español para el Registro de Jornada. Del mismo modo, se declara que “tampoco hay ninguna sentencia que lo prohíba, ni hay ninguna modificación legal que implique cambio legal en el registro de jornada mediante datos biométricos”. De hecho, se afirma que algunos de los sistemas alternativos son, incluso, más invasivos (como el uso de datos de geolocalización) o menos seguros, por cuanto no evitan el riesgo de suplantación de identidad, lo que es un riesgo real en entornos críticos como el de este caso.
Puede acceder a la noticia aquí.
