- Las conclusiones de la AEPD son que, actualmente, no existe en la normativa española una norma con rango de ley que permita levantar la prohibición. Por tanto, si tampoco existe regulación en convenio colectivo, el tratamiento no puede realizarse porque la AEPD considera ahora que el 20.3 del ET no lo habilita, y tampoco lo habilita el Real Decreto-ley 8/2019, la norma que obliga a llevar el registro de jornada, en tanto que en ninguna norma se habla de uso de biometría para cumplir las finalidades establecidas en las mismas. Una normativa legal podría ser su regulación en convenio colectivo si bien, obviamente, nunca debería negociarse dicho convenio mientras se está aplicando el registro de jornada mediante sistemas biométricos, pues ya se estaría incumpliendo la normativa de protección de datos en ese caso.
- Tampoco el consentimiento puede levantar la prohibición del tratamiento al existir, de manera general, un desequilibrio entre la persona trabajadora y la organización y, por tanto, el consentimiento no puede entenderse otorgado de manera libre. Además, para que el consentimiento sea libre tiene que haber una alternativa al control biométrico y, si existe esa alternativa, entonces, el principio de necesidad no se cumple.
- La ejecución de un contrato no levanta la prohibición porque no está entre las causas previstas para ello en el artículo 9.2 del RGPD.
- El consentimiento tampoco levanta la prohibición al ser un tratamiento de alto riesgo, cuando existen alternativas de menor riesgo que tratar datos biométricos.
Elena Pérez Gómez
Abogada en cohaerentis
Especializada en Derecho Tecnológico