Identificación Biométrica: Nueva directriz en Europa sobre tratamiento de datos personales en el entorno laboral

  • Diversas empresas tienen la responsabilidad de mantener un registro de horario para sus empleados, utilizando métodos como aplicaciones móviles, plataformas informáticas, tarjetas o incluso registros en formato papel.

El Comité Europeo de Protección de Datos (CEPD) emitió una directriz en mayo de 2022, centrada en la tecnología de reconocimiento facial, impactando directamente en los sistemas de control de asistencia que emplean información biométrica, como el reconocimiento facial o la huella dactilar.

Siguiendo la misma línea, la Agencia Española de Protección de Datos (AEPD) ha ajustado recientemente su criterio en este ámbito. El organismo público considera el tratamiento de datos biométricos, en lo referente a identificación y autenticación, como una operación de alto riesgo que involucra categorías especiales de datos.

Conforme al Reglamento General de Protección de Datos (RGPD), el tratamiento de estas categorías exige que exista una circunstancia que justifique la excepción a la prohibición y, además, una condición que legitime dicho tratamiento.

En el caso específico del registro de jornada y control de acceso con fines laborales, si se fundamenta la excepción en el artículo 9.2.b del RGPD, que indica: “El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”,  el responsable deberá contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad.

Además, la Agencia señala que, en el contexto de estos tratamientos, el consentimiento no puede eximir la prohibición ni servir como base para determinar la licitud del mismo, dado el desequilibrio entre la persona sometida al tratamiento y quién lo lleva a cabo.

En cualquier caso, la AEDP aclara que, si se tiene la intención de recopilar datos biométricos, se requerirá la realización previa de una evaluación de impacto para la protección de datos. Esta evaluación debe demostrar, entre otros aspectos, la superación de un análisis triple de idoneidad, necesidad y proporcionalidad en el tratamiento.

En este sentido, la normativa europea reciente obliga a las empresas a buscar alternativas para los controles de acceso que no impliquen el uso de categorías especiales de datos personales. A pesar de que este método ha sido utilizado durante años y adoptado por muchas compañías como un medio de control seguro y eficaz, estas recomendaciones se alinean con las nuevas directrices establecidas por la Unión Europea en sentido de proteger la privacidad en el entorno laboral.

En Chile, estamos a la espera de la aprobación del proyecto de ley sobre protección de la vida privada que eleva el estándar de protección de datos para los responsables y establece una agencia en la materia con el objetivo de fiscalizar y sancionar en caso de incumplimientos. Estaremos atentos al progreso legislativo en el país para determinar si se adoptarán criterios similares al derecho comparado, lo cual podría alterar la forma de operar de muchas compañías.

Nuestra actual legislación laboral, en lo referente al control y registro de asistencia, establece dos modalidades; libro de asistencia y reloj con tarjetas de registros, sin perjuicio de que la Dirección del Trabajo (DT) ya se ha referido a la posibilidad de registrar y controlar asistencia a través de mecanismos electrónicos, modalidad que se reconoce con el carácter de rango legal con la publicación de la “Ley de 40 horas”.

Por otro lado, el marco regulatorio y tecnológico exigido a las soluciones digitales de registro y control de asistencia y horas de trabajo se encuentra regulado en el Dictamen N.°2927/58 que establece condiciones técnicas y jurídicas exigibles a esta modalidad de control.

Finalmente, respecto a la protección de datos, la DT señala de manera expresa: “En caso de que para el enrolamiento o identificación de un trabajador se requiera de un dato personal no contemplado en el artículo 10 del Código del Trabajo, como la huella digital o número de teléfono personal, el dependiente deberá previamente manifestar su conformidad por escrito en el contrato individual o anexo de este, señalando incluso que, si el trabajador no está de acuerdo, la empresa podrá utilizar un medio alternativo, por ejemplo, un libro en formato de papel.

Es importante destacar que la Ley N°21.561 establece que una resolución del Director del Trabajo, que se publicará en el Diario Oficial, establecerá y regulará las condiciones y requisitos que deberán cumplir los sistemas electrónicos de registro y control de asistencia y horas de trabajo correspondientes al servicio prestado, el que será uniforme para una misma actividad.

Para obtener más información sobre estas materias, pueden contactar a nuestros grupos Laboral y Compliance:

Jorge Arredondo | Socio | jarredondo@az.cl

Francisca Franzani | Directora grupo Compliance | ffranzani@az.cl

Jocelyn Aros | Asociada Senior grupo Laboral | jaros@az.cl

Constanza Pasarin | Asociada grupo Compliance | cpasarin@az.cl