Desde 2019, el registro de la jornada en España es obligatorio para cualquier tipo de empresa, independientemente de su tamaño, el sector o tipo de contrato. No obstante, no puede utilizarse cualquier método. El Tribunal ha argumentado que existen otras técnicas menos intrusivas y que el uso de tecnologías biométricas es una injerencia ilegítima en los derechos fundamentales del trabajador.
Por este motivo, la compañía deberá abonar a la denunciante una indemnización por despido por 46.266 euros, además de un pago por daños morales de 7.500 euros. En total, la empresa deberá pagar 53.766 euros a la empleada.
La Agencia Española de Protección de Datos (AEPD) prohíbe el reconocimiento facial como sistema de fichaje, recogido también en el Reglamento General de Protección de Datos (RGPD). Únicamente se puede utilizar esta tecnología si es necesario o existe un consentimiento expreso, aunque este puede ser desproporcionado y peligroso debido al desequilibrio de poder entre empleado y empresa.
La sentencia del TSJ gallego, aunque no crea jurisprudencia vinculante a nivel nacional, “es muy relevante y refuerza una línea clara de los tribunales y de la AEPD: el uso de biometría en el trabajo debe ser excepcional”, dice el experto en relaciones laborales y recursos humanos José Plaza, product legal & payroll lead de PayFit, a este medio.
“En la práctica, lanza un mensaje claro a las empresas, subrayando que implantar sistemas intrusivos sin una justificación sólida no solo puede derivar en sanciones administrativas, sino también en consecuencias laborales graves, como la extinción indemnizada del contrato por vulneración de derechos fundamentales”, comenta Plaza. La protección de datos personales, el derecho a la intimidad y el derecho a la dignidad en el trabajo son algunas de las garantías constitucionales que pueden ser perjudicadas.
La empresa que incumpla con las exigencias de la AEPD se expone a indemnizaciones laborales y por daños morales. Asimismo, la propia Agencia también pueden imponer sanciones administrativas que pueden alcanzar “cifras muy elevadas, incluso millones de euros, dependiendo de la gravedad, la intencionalidad y el volumen de personas afectadas”, dice el experto en relaciones laborales y recursos humanos.
Riesgos por el uso de datos biométricos
La AEPD exige a las empresas que apuesten por métodos digitales y abandonen el papel con el objetivo de garantizar un control horario real y verídico. Sin embargo, los datos biométricos, tanto el reconocimiento facial como la huella dactilar, están considerados en una categoría especial de alto riesgo. Por este motivo se suele recurrir a aplicaciones con geolocalización o software en la nube, terminales físicos, como códigos QR o tarjetas RFID; o portales del empleado.
“A diferencia de una contraseña o tarjeta, los datos biométricos forman parte de la persona y son únicos, por lo que su recopilación implica un nivel de invasión mucho mayor”, explica a Vozpópuli Miguel López, experto en ciberseguridad y director para el Sur de EMEA en Barracuda Networks. El uso del reconocimiento facial o la huella dactilar se traduce en “riesgos significativos en varias capas de seguridad si no se implementa de manera correcta”.
Se trata de datos irreversibles: “Una plantilla biométrica comprometida no puede sustituirse como una contraseña, lo que puede crear un vector de riesgo permanente”, dice López. Además, el hecho de que muchas empresas utilicen arquitecturas centralizadas donde las plantillas se almacenan en servidores corporativos o incluso en la nube aumenta el peligro de un ciberataque.
Otra amenaza es el ‘spoofing’ biométrico -o suplantación de identidad biométrica-, mediante el cual se emplean técnicas como los ‘deepfakes’, las máscaras impresas o fotos de alta resolución para engañar a sensores poco robustos o facilitar fraudes en servicios públicos o bancos. “Los sistemas mal configurados también pueden sufrir ataques de ‘replay’, inyección de datos o ‘bypass’ de verificación”, cuenta el experto en ciberseguridad.
La comunicación entre terminal de fichaje y ‘backend’ sin un cifrado fuerte y la mayor probabilidad de vigilancia no intencionada son otras debilidades de esta tecnología. A todo esto se suman los daños reputacionales para la empresa y la pérdida de confianza entre los empleados.
Debido a todos estos riesgos, “la ley exige garantías reforzadas: minimización estricta de datos, limitación de finalidades, cifrado avanzado, evaluaciones de impacto y medidas de seguridad adicionales”, enumera López. “Esta protección busca asegurar que los individuos conserven control sobre elementos esenciales de su identidad”, agrega el experto.
El único escenario en el que la AEPD contempla como excepción el reconocimiento facial es cuando deriva de normas con rango de ley distinto a la legislación laboral; por ejemplo, la Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad, la Ley Orgánica 7/2021 de protección de datos en el ámbito penal o la normativa sobre infraestructuras críticas. Aún así, esto no establece una obligación expresa sino que habilita su uso como medida de control y seguridad si fuera necesario y proporcionado.
Por otro lado, cabe resaltar que las tecnologías biométricas están evolucionando hacia modelos más respetuosos con la privacidad y el control individual. “Una tendencia importante es la biometría descentralizada, donde la plantilla se almacena únicamente en el dispositivo del usuario y nunca en servidores centrales, reduciendo el riesgo de brechas masivas”, dice el experto en ciberseguridad. Técnicas como el ‘match-on-device’ y el cifrado homomórfico, que permiten verificar la biometría sin revelar la plantilla original, son otros de los recientes avances.
Las tareas pendientes: reforzar criterios y dar guías a las empresas
Independientemente de los avances biométricos, es necesario “reforzar criterios claros de proporcionalidad tecnológica y coordinación efectiva entre normativa laboral y de protección de datos”, insiste Plaza. También es importante establecer guías prácticas para las compañías sobre herramientas permitidas y cómo desarrollar sistemas de seguridad jurídica sobre conservación, acceso y uso de los datos.
“Muchas empresas implantan soluciones digitales sin analizar adecuadamente su impacto legal y de derechos fundamentales, pensando que ‘si es tecnológico, es legal’”, dice José Plaza. “La normativa de protección de datos es clara, pero necesita mayor pedagogía, supervisión y coherencia en su aplicación práctica para evitar abusos y situaciones como la de esta sentencia”, señala el experto.
Fuente: vozpopuli.com