El dictamen de la Autoridad Catalana de Protección de Datos (APDCAT) es el resultado del planteamiento de una consulta por parte de un Ayuntamiento sobre la validez de la implantación de un sistema de reconocimiento facial para llevar a cabo el control de cumplimiento de la jornada laboral de empleados.
El uso de sistemas de reconocimiento facial implica el tratamiento de datos personales especialmente protegidos, teniendo en cuenta que se trata de datos biométricos que se utilizan para la identificación de una persona física. Por ello, resulta de aplicación el artículo 9 del Reglamento General de Protección de Datos (RGPD) lo que implica que, además de una de las bases de legitimación del tratamiento, deberá concurrir una de las excepciones previstas en el artículo 9.2 del mismo texto.
En cuanto a las bases de legitimación del tratamiento, la APDCAT entra a considerar:
-La necesidad del tratamiento para la ejecución de un contrato del que el interesado es parte.
-La necesidad del tratamiento para el cumplimiento de una obligación legal por parte del responsable.
En cuanto a las excepciones que deben concurrir por tratarse de datos especialmente protegidos, examina si concurre la siguiente: “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros(…)”.
En la normativa laboral, sí se prevé que un empresario adopte medidas de vigilancia y control sobre el cumplimiento de las obligaciones laborales por parte de los trabajadores. No obstante, la APDCAT considera que ello no implica que el sistema de reconocimiento facial sea válido para lograr tal fin.
En el caso concreto, establece que la causa de la invalidez se encuentra en la imposibilidad de considerar el uso de los datos biométricos como algo que los empleados puedan prever.
Aun en el caso de basar el tratamiento de los datos en el consentimiento de los empleados, la APDCAT manifiesta que no podría considerarse que tal consentimiento se presta de forma libre, salvo que se ofrezca una alternativa equivalente a este sistema y que sea menos intrusivo.