Autores:
Lucas Moyano. Agente Fiscal. Titular de la UFIJ 22 y Subrogante UFIJ 19 del Dpto Judicial Azul, Provincia de Buenos Aires. Diploma de Experto en Ciberdelincuencia y Tecnologías Aplicadas a la Investigación (Universidad Austral – Argentina -y Universidad Abat Oliba CEU –España-). Especialización en Cibercrimen y Evidencia Digital (UBA).
María José Motta. Abogada. Titular en Legallink. Diplomada en litigación penal UCES. Especialización en Cibercrimen y Evidencia Digital (UBA).
Introducción.
El registro de la jornada laboral es una obligación legal en muchos países. Tradicionalmente, se ha realizado mediante métodos manuales como la firma en hojas de asistencia o el uso de tarjetas de fichaje. Sin embargo, en la era digital, las empresas buscan soluciones más eficientes y precisas. El reconocimiento facial se presenta como una alternativa atractiva para automatizar este proceso.
El reconocimiento facial utiliza algoritmos para analizar y comparar características faciales únicas de una persona. Estos algoritmos crean una “plantilla” digital basada en puntos clave del rostro, como la distancia entre los ojos, la forma de la nariz y la boca. Cuando un individuo se presenta ante un sistema de reconocimiento facial, este compara su rostro con las plantillas almacenadas en una base de datos para verificar su identidad.
La implementación del reconocimiento facial como método para controlar la jornada laboral de los empleados ha generado un intenso debate en el ámbito jurídico tanto en Argentina como a nivel internacional. En Argentina, la Ley de Protección de Datos Personales N° 25.326 y su decreto reglamentario establecen el marco legal para el tratamiento de datos personales, incluyendo los datos biométricos como lo es la información obtenida a través del reconocimiento facial.
A nivel doctrinario, se argumenta que el uso de esta tecnología debe respetar los principios de razonabilidad y proporcionalidad, garantizando que la recolección de datos sea acorde con la finalidad de controlar la asistencia y las horas de trabajo sin vulnerar otros derechos fundamentales de los trabajadores.
La jurisprudencia argentina aún no ha emitido un fallo concluyente sobre la validez del reconocimiento facial para estos fines, pero casos internacionales pueden servir como referencia. Por ejemplo, en la Unión Europea, el Reglamento General de Protección de Datos (RGPD) proporciona un marco estricto para el procesamiento de datos biométricos, permitiendo su uso solo bajo ciertas condiciones y con el consentimiento explícito del individuo.
Problemática.
Es imperativo que las empresas que deseen implementar esta tecnología para controlar la jornada laboral de sus empleados se asesoren adecuadamente para cumplir con las normativas vigentes y proteger los derechos de sus trabajadores.
Para introducirnos en el tema, el registro de jornada constituye un derecho de los trabajadores, a una limitación de la jornada de trabajo. Por otro lado, constituye una obligación impuesta a la empresa de controlar el límite de la jornada diaria de la totalidad de sus empleados.
El problema podría surgir de la utilización por parte de la empresa de la utilización de un medio de control de jornada diaria digital, precisamente un dispositivo de carácter biométrico de reconocimiento facial y si este vulnera los derechos y libertades fundamentales de las personas trabajadoras.
El reconocimiento facial es una manera de identificar o confirmar la identidad de una persona mediante su rostro. Los sistemas de reconocimiento facial se pueden utilizar para identificar a las personas en fotos, videos o en tiempo real.
El reconocimiento facial es una categoría de seguridad biométrica. La pregunta que surge es ¿Pueden utilizar las empresas reconocimiento facial para controlar la jornada laboral de los empleados?
Sentado la problemática, a fin de dar respuesta al interrogante, analizaremos un fallo de la Jurisprudencia Española, donde se da tratamiento a la cuestión:
SJSO 2644/2023 – ECLI:ES:JSO:2023:2644: El Juzgado en lo Social N.º 2 de Alicante donde resuelve condenar a la empresa Albero Forte Composite, S.L., declarando la existencia de vulneración del derecho a la intimidad personal y familiar y a la propia imagen, condenando al cese de la conducta empresarial y al abono de la indemnización en la suma de una indemnización por daños morales en la suma de 6.251 euros en favor del damnificado.
Hechos:
El Sr. Dº G. prestó servicios por cuenta y orden de la empresa Albero Forte Composite, S.L., con antigüedad 18.03.2022, en virtud de contrato de trabajo de duración determinada a tiempo completo y duración desde el 18.03.2022 hasta el 17.04.2022, con peón de montaje y abastecimiento.
En fecha 17.03.2022 por la empresa se realizó una fotografía al trabajador desde un dispositivo electrónico. El trabajador firmó hoja de Consentimiento para la recogida y tratamiento de datos personales; con el siguiente contenido:
Autorizo a Albero Forte Composite, S.L., al uso de los derechos de imagen que podrían ser utilizados por la entidad para publicación en: .Página(s) web y redes sociales propiedad de Albero Forte Composite, S.L. Campañas, revistas, publicaciones, folletos, publicidad corporativa y demás materiales de apoyo que considere pertinente para la difusión y promoción de Albero Forte Composite, S.L. por cualquier medio ya sea impreso, electrónico o digital, Albero Forte Composite, S.L. había adquirido a través de la empresa Indra Soluciones Tecnologías de la Información, S.L. el software de control de presencia Ocean desarrollado por la empresa Fichamur, quien prestará soporte en lo que se refiere a la configuración, mantenimiento y resolución de problemas sobre dicha aplicación de control de presencia.
El Sr. Dª G. efectuó un reclamo ante la Agencia Española de Protección de datos personales: En fecha 17.08.2022 frente a la empresa Albero Forte Composite, S.L. en la que expone que la empresa reclamada saca una fotografía de la cara de los empleados desde un dispositivo de la entrada y que esa imagen se usa para fichar la entrada y la salida en el puesto de trabajo. Manifiesta que nunca ha sido informado del uso de los datos biométricos, tan solo les hacen firmar un consentimiento al uso de los derechos de imagen que podrían ser utilizadas y difundidas para la publicación en su página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo necesarios para la difusión y promoción de la empresa reclamada.
La Agencia Española de Protección de datos personales: Sanciono a la empresa procedió al pago de la sanción en la cuantía de 12.000 euros, además de imponer que deberá limitar el uso del reconocimiento facial hasta efectuar una evaluación de impacto de protección de datos de tratamiento válida, que tenga en cuenta los riesgos para los derechos y libertados de los empleados y las medidas y garantías adecuadas para su tratamiento.
Al momento de resolver el Juzgado expreso: “el derecho a la intimidad y la propia imagen del trabajador puede ser objeto de tutela con relación al poder de vigilancia y control del empresario (como ocurre con la colocación de sistemas de grabación o captación de imagen y sonido; o con el control sobre la utilización del correo electrónico o el uso de internet). Toda medida restrictiva debe superar un test de proporcionalidad, incluso el control sobre las herramientas de trabajo que pueden albergar contenidos íntimos o comunicaciones ( TCo 96/2012). Se vulnera el derecho a la intimidad personal cuando la penetración en el ámbito propio y reservado del sujeto no sea adecuada con la ley, no sea eficazmente consentida o, aun autorizada, trastorne los términos y el alcance para el que se otorgó el consentimiento, quebrando la conexión entre la información personal que se recaba y el objetivo tolerado para el que fue recogida.”
Respecto al consentimiento manifestó: “Si el interesado no tiene conocimiento del tratamiento de imágenes a efectos del reconocimiento facial, no puede dar un consentimiento informado” Continúa refiriendo “Es evidente que el demandante no dio su consentimiento para que se usara su imagen como sistema de control de entrada y salida en la empresa (fichaje). Tampoco existió evaluación de impacto en protección de datos, lo que motivó la imposición de sanción por la Agencia Española de Protección de Datos”.
Respecto al reconocimiento facial, expreso: “Como refiere el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, el uso de la biometría plantea la cuestión de la proporcionalidad de cada categoría de datos tratados a la luz de los fines para los que se traten los datos. Puesto que los datos biométricos solo pueden utilizarse si son adecuados, pertinentes y no excesivos, ello implica una evaluación estricta de la necesidad y la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva… En nuestro caso, no consta que se ofrecieran al actor otras opciones sobre el modo de fichaje, pudiendo habérsele ofrecido la posibilidad de fichar con tarjeta, como así ocurrió con unas trabajadoras gemelas (resulta de la testifical de Dª S). En nuestro caso, nos hallamos ante un sistema de reconocimiento facial a partir de la imagen de una fotografía, hallándose dicho sistema incluido en el ámbito de reconocimiento biométrico. Teniendo presente que el actor no dio su consentimiento expreso para que su imagen pudiera ser usada para fichar, que por la empresa no se le dieron otras opciones a fin de realizar el citado control y que no se realizó la obligada evaluación de impacto en protección de datos, se ha de entender vulnerado el derecho a la intimidad y propia imagen del actor, como así concluye el Ministerio Fiscal en fase de informe, por lo que procede la estimación de la demanda”.
Legislación Comparada.
– En Estados Unidos a nivel federal y estatal, no existe una regulación unificada para el uso del reconocimiento facial. Las autoridades de seguridad pueden establecer sus propias políticas².
– México, por ejemplo, está en proceso de discutir regulaciones para el reconocimiento facial. La falta de una legislación específica ha generado preocupaciones sobre la privacidad y el uso indebido de esta tecnología.
– China tiene una amplia implementación de reconocimiento facial, pero también ha generado controversias en términos de privacidad y control.
-Japón, Canadá, Australia y otros países también están evaluando regulaciones específicas para esta tecnología.
Reflexiones.
Analizando la cuestión somos de la opinión que el empleo de reconocimiento facial para el control horario es un sistema de identificación novedoso y muy intrusivo para los derechos y libertades fundamentales de las personas. Si bien su uso no está prohibido, pero requiere de una evaluación de impacto y la comunicación al comité de empresa de cómo, cuándo y quién despliega la tecnología biométrica.
Dicha evaluación debe incluir un análisis de la necesidad y la proporcionalidad de esos sistemas, y de la posibilidad de utilizar otro método menos intrusivo. En caso de utilizarse deberán evaluarse las medidas previstas para afrontar los riesgos que lleva a aparejado el reconocimiento facial, como las brechas de seguridad o la desviación de la información biométrica. En caso de que aun así se decida implementar el sistema de reconocimiento facial, se requiere la información previa y el consentimiento expreso de los trabajadores. Todo ello, en aras de justificar que la decisión empresarial implantada no ha propiciado un desprecio o sacrificio innecesario e injusto de los derechos y libertades fundamentales de las personas trabajadoras por existir otras vías menos intrusivas al respecto
De no ser así, se vulnera el derecho a la intimidad y a la propia imagen.