Cuando apareció la posibilidad de identificar de forma individual a las personas a través de controles biométricos, las empresas de cierta dimensión, tanto privadas como públicas, empezaron a utilizarlos a diversos efectos en la gestión de las relaciones laborales. Ello se comenzó haciendo con los medios de control biométrico más sencillos, como es el caso del reconocimiento de la huella dactilar, facial, del iris o la retina. La finalidad más extendida del uso de este tipo de controles biométricos lo ha sido a efectos del registro y control de la jornada de trabajo o, más ampliamente, la identificación de la presencia o ausencia del trabajador dentro del centro de trabajo; pero también se ha ido extendiendo a otros fines, como son los del acceso a determinados dispositivos digitales, a determinadas zonas reservadas dentro de los locales de la empresa, a cierto tipo de bases de datos de la empresa y de su manipulación.

Desde la perspectiva empresarial, el control a través de datos biométricos resulta especialmente fiable para tener la plena certeza de identificación de cada trabajador, sin posibles suplantaciones o alteraciones por parte de terceros, de modo que se puede presentar como el método más certero de identificación. A ello se añade que en poco tiempo estos controles se pueden realizar con medios que requieren bajo coste económico, lo que ha favorecido también una amplia implantación.

Sin embargo, también en breve tiempo, comenzaron a percibirse los riesgos del control de los datos biométricos, particularmente cuando los mismos empezaron a perfeccionarse. Así, hoy en día permiten un conocimiento mucho más intenso de cada uno de los trabajadores objeto de control; baste mencionar que a través de algo tan sencillo como es la huella dactilar se puede detectar la temperatura o el pulso de la persona. De este modo, los datos biométricos provocan una notable capacidad de acceder a perfiles personales de lo más variados, incluso situados en la esfera de la intimidad del trabajador; a título de ejemplo, por mencionar los más evidentes, pueden llegar a diagnosticar factores que afectan al estado de salud o enfermedad del trabajador, o incluso la orientación sexual del trabajador.

Más aún, los sistemas de control de datos biométricos se han venido sofisticando, con fórmulas de lo más diversas, que permiten controles remotos, tanto en tiempo real como archivados en diferido. Tan es así, que actualmente el registro de los datos biométricos, procesados con sistemas de inteligencia artificial, puede llegar a detectar elementos que se refieren a factores emocionales o de intenciones de los trabajadores objeto de control; emociones entendidas por el Reglamento de la Unión Europea como la felicidad, la tristeza, la indignación, la sorpresa, el asco, el apuro, el entusiasmo, la vergüenza, el desprecio, la satisfacción y la diversión.

Los controles se pueden realizar con medios que requieren bajo coste económico, lo que ha favorecido también una amplia implantación

Como respuesta a ello, sobre todo la normativa de la Unión Europea ha establecido importantes cautelas por dos vías, con vistas a garantizar que su utilización no se realice con sesgos que comporten lesiones a los derechos fundamentales, que no provoquen tratamientos discriminatorios, sean contrarios a la salud de los trabajadores y corran el riesgo de identificación de sus emociones. La primera vía lo ha sido a través del Reglamento sobre protección de datos personales, donde solo se permite el uso de los datos biométricos cuando su tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito laboral y de seguridad social, en la medida en que así se autorice legalmente o por convenio colectivo, estableciendo las garantías adecuadas del respeto de los derechos fundamentales y de los intereses del trabajador.

La segunda vía lo ha sido a través del Reglamento de la Unión Europea sobre inteligencia artificial, donde se contemplan como prohibidos por inaceptables los controles de datos biométricos que detecten las emociones de los trabajadores, al tiempo que casi todo el resto de los controles de este tipo se consideran de alto riesgo para los que se contemplan límites específicos.

El resultado más concreto ha sido la aprobación de una reciente Guía de la Agencia Española de Protección de Datos, que recoge una amplia relación de límites y condiciones al establecimiento de controles a través de datos biométricos. Lo hace a efectos de admitir la posibilidad de utilizarlos para el registro de la jornada de trabajo, pero por la forma como lo desarrolla podría entenderse aplicable a otros fines de gestión laboral. Sin necesidad de entrar en los pormenores de esa amplia lista de condicionamientos, basta con indicar que la Guía establece que es necesaria una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad o, alternativamente, que tal autorización la realice un convenio colectivo y que, en ese caso, el propio convenio debe justificar que no son adecuados otros sistemas menos invasivos (tarjetas, certificados claves, sistemas de contact-less, etc.).

En estos momentos no existe ninguna Ley laboral que expresamente lo permita tal como lo exige el Reglamento europeo de protección de datos. Ni siquiera la reforma anunciada por el Gobierno, actualmente en fase de anteproyecto de ley, que regula con mayor detalle el registro de la jornada de trabajo, contempla nada relativo a los controles biométricos; se trata de una reforma que va a exigir que los registros de jornada de trabajo se realicen necesariamente por medios digitales, pero sin precisar que estos medios puedan ser de control biométrico.

La UE prohíbe por inaceptables los controles de datos biométricos que detecten las emociones de los trabajadores

En paralelo, solo en casos excepcionales, los convenios colectivos contemplan que la empresa tiene implantados dispositivos biométricos como puede ser a través de la huella dactilar o el reconocimiento facial (Mercadona, Industria Química, Banca, Metal de la provincia de Huesca, por ejemplo). Se trata de convenios que se limitan a afirmar que tales sistemas se adaptan o se deben adaptar a la normativa sobre protección de datos y sobre inteligencia artificial, así como a los requisitos establecidos por la Guía de la Agencia. Sin embargo, se trata de textos convencionales que presentan el riesgo de no superar el exigente control de la Agencia. Por ejemplo, ninguno de estos convenios justifica la inadecuación de otros procedimientos menos invasivos a los efectos de desarrollar el control laboral que se pretende. En todo caso, para el resto de las empresas cuyo convenio de referencia no contempla nada respecto de los controles biométricos, que son la gran mayoría, no será posible hacer uso de ellos.

A resultas de lo anterior, son muchas las empresas que, por prudencia, han optado por retirar o inhabilitar los dispositivos biométricos que tenían implantados de control del registro horario.

El panorama actual, a pesar de la amplitud de la norma europea sobre protección de datos y sobre inteligencia artificial, no deja de plantear bastante inseguridad jurídica sobre la posibilidad de utilizar el control biométrico en el trabajo. Una mera Guía de la Agencia Española de Protección de Datos no debería asumir la función que le corresponde a la ley, además sin llegar a zanjar esta Guía todas las dudas que se plantean. En estas circunstancias, sería muy oportuna una intervención legislativa que clarificase aspectos esenciales al respecto: si se permite o no hacer uso de los controles biométricos a efectos laborales, en su caso que tipo de controles serían admisibles, hasta qué punto pueden ser archivados y durante cuánto tiempo, con qué fines podrían implantarse, con qué condiciones, en qué medida podrían ser introducidos por los convenios colectivos y con qué límites.