Otro año que nos hemos comido. ¿Qué rápido pasa el tiempo, ¿verdad?
2018 ha sido el año marcado por la angustia de la implementación del RGPD y por la incertidumbre de saber cuándo se iba a aprobar de una vez por todas la nueva LOPD, para lo que hemos tenido que esperar hasta el último minuto, de forma que vamos a empezar 2019 modificando documentación y protocolos para dar cabida en ellos a las especificaciones que aporta esa norma. (más…)
El pasado día 29 de septiembre en el periódico digital eldiario.es se publicaba un interesante artículo titulado “Si te parece normal que te pidan la huella digital para entrar en un gimnasio, necesitas leer esto”, en el que se criticaba que en un determinado gimnasio de la capital se llevara el control de acceso a las instalaciones a través de datos biométricos obtenidos a partir de la huella dactilar de los usuarios.
No es mi intención aquí entrar en si es desproporcionado o no ese sistema de control de acceso -por otra parte, más habitual de lo que se puede pensar- sino centrarme en una frase utilizada en el artículo, a mi juicio exagerada intencionadamente:
Una enorme popularidad teniendo en cuenta que no es barato, que no es compatible con otros gimnasios municipales y que exige a los usuarios algo que sería más apropiado en una comisaría: la huella digital.
Si bien podría ser cierto que el uso de la huella dactilar resulte ser desproporcionado en la situación que describe en el artículo, no lo es (que es lo que mi juicio puede desprenderse del artículo. Prueba de ello es que el artículo me lo mandaron desde una empresa cliente del despacho) que se circunscriba el tratamiento legítimo de la misma al que pueden hacer los Cuerpos y Fuerzas de Seguridad del Estado, puesto el uso de los datos biométricos obtenidos de una huella dactilar para control horario, sin necesidad de contar con el consentimiento de los trabajadores, ha sido declarado ajustado a Derecho no solo por la Agencia Española de Protección de Datos sino también, y eso es más importante, por la Administración de Justicia.
El artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, determina como principio general la necesidad de contar con el consentimiento del interesado para tratar sus datos personales, pero el apartado 2º del mismo precepto recoge una serie de -benditas- excepciones que permiten el tratamiento sin necesidad de recabar ese consentimiento, y entre éstas se encuentra el que los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
Pongan en relación dicho precepto con el artículo 20.3 del Estatuto de los Trabajadores:
El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
Por tanto, previo cumplimiento de las exigencias previstas en el propio Estatuto de los Trabajadores para el establecimiento de esas medidas de control y de las obligaciones informativas eleopedianas, el uso de un dato biométrico para controlar el cumplimiento del horario de trabajo sería conforme a Ley.
Es más, no solo podría tener esa finalidad, sino que también puede servir para cumplir con la obligación que el empresario tiene de registrar día a día la jornada de cada trabajador, impuesta por el apartado 5º del artículo 35 del Estatuto de los Trabajadores(“A efectos del cómputo de horas extraordinarias, la jornada de cada trabajador se registrará día a día y se totalizará en el periodo fijado para el abono de las retribuciones, entregando copia del resumen al trabajador en el recibo correspondiente”), registro que se tiene que llevar aunque no se realicen horas extraordinarias, conforme ha entendido la Audiencia Nacional en sentencias de 4 de diciembre de 2015(nº 207/2015) y 19 de febrero de 2016 (nº 25/2016):
… Conviene subrayar que la previsión contenida en el art. 35.5 ET, como recuerda la STS 11-12-2003 y reitera STS 25-04-2006, rec. 147/2005, ” tiene por objeto procurar al trabajador un medio de prueba documental, que facilite la acreditación, de otra parte siempre difícil, de la realización de horas extraordinarias, cuya probanza le incumbe. De este medio obligacional de patentización de las horas extraordinarias deriva que sea el trabajador el primer y principal destinatario de la obligación empresarial de elaborar “a efectos del cómputo de horas extraordinarias la jornada de cada trabajador… entregando copia del resumen al trabajador en el recibo correspondiente”. – Queda claro, por tanto, que en el resumen no se contiene el número de horas extraordinarias realizado diariamente, sino la jornada realizada diariamente.
Así pues, si la razón de ser de este precepto es procurar al trabajador un medio de prueba documental para acreditar la realización de horas extraordinarias, parece evidente que el registro de la jornada diaria es la herramienta, promovida por el legislador, para asegurar efectivamente el control de las horas extraordinarias. – Si no fuera así, si el registro diario de la jornada solo fuera obligatorio cuando se realicen horas extraordinarias, provocaríamos un círculo vicioso, que vaciaría de contenido la institución y sus fines, puesto que el presupuesto, para que las horas extraordinarias tengan dicha consideración, es que se realicen sobre la duración máxima de la jornada de trabajo, que en BANKIA es de 1680 horas en cómputo anual, de conformidad con lo dispuesto en el art. 31.1 del Convenio Colectivo de Cajas de Ahorro, siendo esta la razón por la que, sin el registro diario de la jornada, sea imposible controlar la realización de horas extraordinarias
Como he anticipado antes, que el control horario se lleve a cabo mediante dato biométrico obtenido a partir de la huella dactilar está legitimado por el propio Tribunal Supremo, que en relación con un sistema de control horario basado en la lectura biométrica de la mano por un escáner implantado por la Comunidad Autónoma de Cantabria, en sentencia de fecha 2 de julio de 2007 dictada por la sección 7ª de la Sala Tercera, considera que es un tratamiento del dato adecuado, pertinente y no excesivo para la finalidad perseguida con su implantación:
La captación por infrarrojos de una imagen tridimensional de la mano que acaba convertida en un registro de nueve bytes válido para, mediante tratamiento informático que lo relaciona con otros datos, identificar a los empleados públicos del Gobierno de Cantabria y así controlar el cumplimiento del horario de trabajo, no responde al patrón de las intromisiones ilegítimas en la esfera de la intimidad, tanto por la parte del cuerpo utilizada, como por las condiciones en que se usa.
Desde luego, la finalidad perseguida mediante su utilización es plenamente legítima: el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos. Y, en tanto esa obligación es inherente a la relación que une a estos con la Administración Autonómica, no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la Ley Orgánica 15/1999 lo excluye en estos casos. Además, no parece que la toma, en las condiciones expuestas, de una imagen de la mano incumpla las exigencias de su artículo 4.1. Por el contrario, puede considerarse adecuada, pertinente y no excesiva.
Esa línea es la que sigue manteniendo la Agencia Española de Protección de Datos cuando estos sistemas de control se denuncian ante ese ente. Les remito a modo de ejemplo a tres recientes resoluciones de archivo:
Expediente E/00625/2015, resolución de archivo de fecha 22 de octubre de 2015
Expediente E/01972/2015, resolución de archivo de fecha 12 de enero de 2016
Expediente E/03942/2015, resolución de archivo de fecha 15 de febrero de 2016
Es más: es la misma postura que el ente de control mantiene al respecto desde, como mínimo 1999, como pueden comprobar a través de este informe jurídico.
Cabría preguntarse si la entrada en vigor y plena aplicación el 25 de mayo de 2018 del nuevo Reglamento General de Protección de Datos va a suponer algún cambio en cuanto a la legitimación de este tratamiento, pero desde mi punto de vista creo que no va a ser así, puesto que si bien el artículo 9.1 eleva los datos biométricos a categoría especial de datos personales -lo que en la legislación española se conoce como datos especialmente protegidos-, su apartado segundo permite su tratamiento, entre otros supuestos, cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
En fin, hasta aquí llego. No obstante, me van a permitir que termine dedicando estas líneas a tres personas:
Por un lado, a Álvaro Pérez y a Luís Isasi, más que compañeros amigos, del Ilustre Colegio de Abogados de Baleares, a quienes estos días la vida les ha hecho pasar por el siempre duro trance de perder un familiar querido.
Y por otro, aunque no estén a su altura, a la memora de Emilio Aced, recientemente fallecido. Persona de referencia en el sector eleopediano, compañero en el grupo de debate e intercambio de conocimiento auspiciado por Julián Valero, y que siempre fue amable, atento y cariñoso en el trato conmigo en las pocas ocasiones que coincidimos físicamente. Un abrazo a su familia.
Nos es grato informar a nuestros asiduos lectores que Privacidad Lógica y Pribatua (Asociación Vasca de Privacidad y Seguridad de la Información) han establecido líneas de colaboración para realizar una labor de divulgación y gestión del conocimiento de las tecnologías de la información, de la seguridad de la información, y, especialmente en lo referente a la protección de datos de carácter personal.
En este sentido, y siempre y cuando sea posible, desde Privacidad Lógica nos haremos eco de crónicas de jornadas y eventos que organice o en las que participe Pribatua, de manera que la “comunidad del dato” pueda saber qué se ha debatido en las mismas.
Y, como el movimiento se demuestra andando, pues ahí va la primera. (más…)
Aquellos que tenemos ya ciertos años (aunque no lo aparentemos, por supuesto) recordarán de cuando Goma Espuma solo salía en la radio de dos a cuatro de la mañana los viernes y/o sábados una parodia en el que el médico de la mútua laboral le decía a su paciente, el Sr. Carmelo Cotón (¿o era Ernesto Mateensalsa?): “¡Si está usted hecho un roble, hombre! Ande, tire y váyasepacasa, que no le pasa ná, y mañana a trabajar. Pero ahora al irse no me haga ruido con los muñones por el pasillo, ¿eh?”
Pues sobre eso mismo se publica en la página 28 de Expansión un interesante artículo, firmado por Valentín Fernández, sobre determinadas prácticas de empresas que, obsesionadas por recortar costes derivados de problemas médicos de los empleados, incentivan la participación de sus trabajadores en programas de, en mayor o menor medida, de control de sus hábitos de vida o estado de su salud.
¿Celo excesivo de la empresa? ¿Invasión de la intimidad de los trabajadores? ¿Adhesión del trabajador voluntaria o coaccionada? El artículo recoge la opinión al respecto de distintos abogados o consultores, entre los que tenemos la fortuna de encontrarnos, por lo que estamos muy satisfechos de que se hayan acordado de nosotros. Y, ya que estábamos, de paso contribuimos a través de nuestra opinión a la visibilidad de la Asociación Profesional Española de Privacidad.
Previa autorización de su autor, ponemos a disposición de todos nuestros lectores el artículo, que pueden ustedes descargar desde el siguiente enlace
En Privacidad Lógica estamos de enhorabuena: la prestigiosa publicación online Diariojuridico.com se ha hecho eco de nuestra puesta en marcha, y nos dedica una entrada entre sus noticias de actualidad correspondientes al día de hoy, 28 de septiembre. Puede acceder a la noticia completa desde este enlace.