control de acceso

La Agencia Española de Protección de Datos (AEPD) nos dice en su nueva guía de protección de datos en el entorno laboral que para el control de acceso a las instalaciones, la empresa no necesita el consentimiento de la personas trabajadoras para establecer los controles de acceso que estime convenientes, pero debe respetar los derechos fundamentales.

En este sentido:

  1. La base jurídica del tratamiento de datos puede ser el contrato de trabajo, en relación con el art. 20.3 del ET, cuando la finalidad consiste en el control de las personas trabajadoras, pero también podría ser el interés legítimo del empleador, si el propósito fuera distinto, por ejemplo, la protección de los bienes empresariales.
  2. Deben evitarse sistemas de acceso especialmente invasivos de los derechos fundamentales de las personas trabajadoras si existen otros igualmente eficaces que resulten menos intrusivos.
  3. En caso de utilización de datos biométricos, veremos mas adelante como debemos tratar esos datos, recordar que El artículo 4.14 del RGPD recoge la siguiente definición de «datos biométricos»:
    «Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».

La AEPD nos pone un ejemplo:

Un empresario dispone de una sala de servidores en la que se almacenan en formato digital datos sensibles de la empresa, datos personales de las personas trabajadoras y datos personales de los clientes. Para cumplir las obligaciones legales de proteger los datos contra el acceso no autorizado, el empresario ha instalado un sistema de control de acceso que registra la entrada y salida de las personas trabajadoras que tienen permiso para entrar en la sala.

Si desaparecen elementos del equipo o algún dato es objeto de acceso no autorizado, pérdida o robo, los registros guardados por el empresario le permiten determinar quién tuvo acceso a la sala en ese momento.

Habida cuenta de que el tratamiento es necesario y no vulnera el derecho a la vida privada de las personas trabajadora , este puede ser en el interés legítimo si las personas trabajadoras han sido informadas adecuadamente sobre la operación de tratamiento. Sin embargo, la observación continua de la frecuencia y los tiempos exactos de entrada y salida de las personas trabajadoras no puede justificarse si estos datos se utilizan también para otros fines, como la evaluación del desempeño (Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29).