Quan va aparèixer la possibilitat d'identificar de forma individual les persones a través de controls biomètrics, les empreses d'una certa dimensió, tant privades com públiques, van començar a utilitzar-los amb diversos efectes en la gestió de les relacions laborals. Això es va començar a fer amb els mitjans de control biomètric més senzills, com és el cas del reconeixement de l'empremta dactilar, facial, de l'iris o la retina. La finalitat més estesa de l'ús d'aquest tipus de controls biomètrics ha estat a efectes del registre i control de la jornada de treball o, més àmpliament, la identificació de la presència o absència del treballador dins del centre de treball; però també s'ha anat estenent a altres fins, com són els de l'accés a determinats dispositius digitals, a determinades zones reservades dins dels locals de l'empresa, a cert tipus de bases de dades de l'empresa i de la seva manipulació.

Des de la perspectiva empresarial, el control a través de dades biomètriques resulta especialment fiable per tenir la plena certesa d'identificació de cada treballador, sense possibles suplantacions o alteracions per part de tercers, de manera que es pot presentar com el mètode més encertat d'identificació. A això s'afegeix que en poc temps aquests controls es poden realitzar amb mitjans que requereixen un baix cost econòmic, cosa que ha afavorit també una àmplia implantació.

No obstant això, també en breu temps, van començar a percebre's els riscos del control de les dades biomètriques, particularment quan aquestes van començar a perfeccionar-se. Així, avui en dia permeten un coneixement molt més intens de cadascun dels treballadors objecte de control; n'hi ha prou amb esmentar que a través d'alguna cosa tan senzilla com és l'empremta dactilar es pot detectar la temperatura o el pols de la persona. D'aquesta manera, les dades biomètriques provoquen una notable capacitat d'accedir a perfils personals dels més variats, fins i tot situats en l'esfera de la intimitat del treballador; a títol d'exemple, per esmentar els més evidents, poden arribar a diagnosticar factors que afecten l'estat de salut o malaltia del treballador, o fins i tot l'orientació sexual del treballador.

Més encara, els sistemes de control de dades biomètriques s'han anat sofisticant, amb fórmules de les més diverses, que permeten controls remots, tant en temps real com arxivats en diferit. Tant és així, que actualment el registre de les dades biomètriques, processades amb sistemes d'intel·ligència artificial, pot arribar a detectar elements que es refereixen a factors emocionals o d'intencions dels treballadors objecte de control; emocions enteses pel Reglament de la Unió Europea com la felicitat, la tristesa, la indignació, la sorpresa, el fastig, el compromís, l'entusiasme, la vergonya, el menyspreu, la satisfacció i la diversió.

Els controls es poden realitzar amb mitjans que requereixen un baix cost econòmic, cosa que ha afavorit també una àmplia implantació

Com a resposta a això, sobretot la normativa de la Unió Europea ha establert importants cauteles per dues vies, amb vista a garantir que la seva utilització no es realitzi amb biaixos que comportin lesions als drets fonamentals, que no provoquin tractaments discriminatoris, siguin contraris a la salut dels treballadors i corrin el risc d'identificació de les seves emocions. La primera via ha estat a través del Reglament sobre protecció de dades personals, on només es permet l'ús de les dades biomètriques quan el seu tractament és necessari per al compliment d'obligacions i l'exercici de drets específics en l'àmbit laboral i de seguretat social, en la mesura que així s'autoritzi legalment o per conveni col·lectiu, establint les garanties adequades del respecte dels drets fonamentals i dels interessos del treballador.

La segona via ha estat a través del Reglament de la Unió Europea sobre intel·ligència artificial, on es contemplen com a prohibits per inacceptables els controls de dades biomètriques que detectin les emocions dels treballadors, al mateix temps que gairebé tota la resta de controls d'aquest tipus es consideren d'alt risc per als quals es contemplen límits específics.

El resultat més concret ha estat l'aprovació d'una recent Guia de l'Agència Espanyola de Protecció de Dades, que recull una àmplia relació de límits i condicions a l'establiment de controls a través de dades biomètriques. Ho fa a efectes d'admetre la possibilitat d'utilitzar-los per al registre de la jornada de treball, però per la forma com ho desenvolupa podria entendre's aplicable a altres fins de gestió laboral. Sense necessitat d'entrar en els detalls d'aquesta àmplia llista de condicionaments, n'hi ha prou amb indicar que la Guia estableix que és necessària una norma amb rang de llei que concreti la possibilitat d'utilitzar dades biomètriques per a aquesta finalitat o, alternativament, que tal autorització la realitzi un conveni col·lectiu i que, en aquest cas, el mateix conveni ha de justificar que no són adequats altres sistemes menys invasius (targetes, certificats clau, sistemes de contact-less, etc.).

En aquests moments no existeix cap Llei laboral que expressament ho permeti tal com ho exigeix el Reglament europeu de protecció de dades. Ni tan sols la reforma anunciada pel Govern, actualment en fase d'avantprojecte de llei, que regula amb més detall el registre de la jornada de treball, contempla res relatiu als controls biomètrics; es tracta d'una reforma que exigirà que els registres de jornada de treball es realitzin necessàriament per mitjans digitals, però sense precisar que aquests mitjans puguin ser de control biomètric.

La UE prohibeix per inacceptables els controls de dades biomètriques que detectin les emocions dels treballadors

En paral·lel, només en casos excepcionals, els convenis col·lectius contemplen que l'empresa té implantats dispositius biomètrics com pot ser a través de l'empremta dactilar o el reconeixement facial (Mercadona, Indústria Química, Banca, Metall de la província d'Osca, per exemple). Es tracta de convenis que es limiten a afirmar que aquests sistemes s'adapten o s'han d'adaptar a la normativa sobre protecció de dades i sobre intel·ligència artificial, així com als requisits establerts per la Guia de l'Agència. No obstant això, es tracta de textos convencionals que presenten el risc de no superar l'exigent control de l'Agència. Per exemple, cap d'aquests convenis justifica la inadequació d'altres procediments menys invasius a efectes de desenvolupar el control laboral que es pretén. En tot cas, per a la resta d'empreses el conveni de referència de les quals no contempla res respecte dels controls biomètrics, que són la gran majoria, no serà possible fer-ne ús.

Com a resultat de l'anterior, són moltes les empreses que, per prudència, han optat per retirar o inhabilitar els dispositius biomètrics que tenien implantats de control del registre horari.

El panorama actual, malgrat l'amplitud de la norma europea sobre protecció de dades i sobre intel·ligència artificial, no deixa de plantejar força inseguretat jurídica sobre la possibilitat d'utilitzar el control biomètric en el treball. Una simple Guia de l'Agència Espanyola de Protecció de Dades no hauria d'assumir la funció que li correspon a la llei, a més sense arribar a resoldre aquesta Guia totes les dubtes que es plantegen. En aquestes circumstàncies, seria molt oportuna una intervenció legislativa que clarifiqués aspectes essencials al respecte: si es permet o no fer ús dels controls biomètrics a efectes laborals, en el seu cas quin tipus de controls serien admissibles, fins a quin punt poden ser arxivats i durant quant de temps, amb quins fins podrien implantar-se, amb quines condicions, en quina mesura podrien ser introduïts pels convenis col·lectius i amb quins límits.