La Agéncia de Protecció de Dades de Catalunya (APDCAT), en el marco de una consulta planteada por un Delegado de Protección de Datos, ha abierto la vía a utilizar el consentimiento como base jurídica a la hora de efectuar tratamientos de datos biométricos con la finalidad de registrar la jornada diaria de los trabajadores.
El Delegado de Protección de Datos consultante ponía de manifiesto que, en su opinión, la única base jurídica que puede habilitar el tratamiento de datos biométricos con fines de control horario o de registro de jornada de los trabajadores es que sea necesario para el cumplimiento de obligaciones del responsable o del interesado en el ámbito del Derecho laboral, de acuerdo con el art. 9.2. b) del RGPD.
Para dar respuesta a la consulta planteada, la APDCAT se remite al Dictamen CNS 2/2022, en el que un Ayuntamiento planteaba una cuestión de similares características, en el que se entendió que “(…) podría considerarse que existe consentimiento libre si el interesado dispone de una alternativa para cumplir con el control horario o controlar su presencia o ejecución de horario, y es éste quien escoge y presta su consentimiento al tratamiento de los datos biométricos a través de sistemas de reconocimiento facial (…)”. Por tanto, la validez del consentimiento como base jurídica habilitante del tratamiento está supeditada a la existencia o inexistencia de alternativas, y, en caso de existir tales alternativas, será preciso que el trabajador opte específica y voluntariamente (preste consentimiento) por el control de la jornada diaria basado en el tratamiento de datos biométricos.
En el mismo sentido, la APDCAT advierte que:
- El responsable que pretenda llevar a término un tratamiento sobre la base jurídica del consentimiento (art. 6.1 RGPD, y en caso de categorías especiales de datos, 9.2.a) RGPD), ha de tener en especial consideración, y de manera previa, los requisitos necesarios que ha de reunir el consentimiento para que éste sea válido.
- En cualquier caso, antes de llevar a cabo un tratamiento como el que se plantea en la consulta, es preciso hacer una evaluación de impacto sobre la protección de datos, donde se analice, entre otras cuestiones, la licitud del tratamiento.