Búsqueda avanzada

Resoluciones

Resolución del Defensor del Pueblo de Navarra (Q18/13) por la que se recomienda al Departamento de Presidencia, Función Pública, Interior y Justicia, que: a) En el expediente para la implantación de un sistema de control por huella dactilar para el fichaje de la jornada laboral por parte de los empleados públicos, se justifique, de acuerdo con lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que el tratamiento del dato referido a la huella dactilar de los empleados públicos resulta adecuado, pertinente y no excesivo en relación con el ámbito y la finalidad para los que se vaya a obtener el referido dato. b) Informe previamente, de modo expreso, preciso e inequívoco a los empleados públicos afectados por la recogida del dato referido a su huella dactilar, de acuerdo con lo previsto en el artículo 5.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. De conformidad con el artículo 34.2 de la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra, procede que el Departamento de Presidencia, Función Pública, Interior y Justicia, informe, como es preceptivo, en el plazo máximo de dos meses, si acepta esta resolución, y, en su caso, las medidas adoptadas para su cumplimiento.

20 febrero 2018

Protección de datos

Tema: La implantación en la Administración de la Comunidad Foral de Navarra de un sistema de fichaje de sus trabajadores mediante la huella dactilar.

Protección de datos

Consejera de Presidencia, Función Pública, Interior y Justicia

Señora Consejera:

  1. El 9 de enero de 2018 esta institución recibió un escrito de la señora doña […], en representación de la Federación de Empleados de los Servicios Públicos de la Unión General de Trabajadores de Navarra, mediante el que formulaba una queja frente al Departamento de Presidencia, Función Pública, Interior y Justicia, por la implantación, por parte de la Administración de la Comunidad Foral de Navarra, de un nuevo sistema de fichaje mediante huella dactilar.

    En dicho escrito, exponía que:

    1. La Administración de la Comunidad Foral de Navarra ha comenzado a implantar el fichaje mediante huella dactilar en numerosas oficinas y centros de trabajo.
    2. El artículo 4.1 de la Ley Orgánica de Protección de Datos (LOPD) establece que: los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
    3. La Agencia Española de Protección de Datos (AEPD) considera que la información biométrica tiene la condición de dato de carácter personal, por lo que su tratamiento debe ajustarse a la Ley Orgánica de Protección de Datos, hasta que el 25 de mayo de 2018 entre en vigor el reglamento de la Unión Europea de protección de datos, que reforzará estas medidas. Esta información está íntimamente ligada a cada persona, ya que no es posible alterarla y permite, en principio, una identificación sin errores, aunque ya hay hackers que están trabajando para falsificarla.
    4. La AEPD y diferentes tribunales, entre ellos el Tribunal Supremo, han confirmado la posibilidad del uso de datos biométricos por las empresas siempre y cuando cumplan ciertos requisitos: idoneidad, justificación y necesidad. La medida que adopte una compañía que requiera el uso de cualquier dato biométrico tiene que ser necesaria para el buen funcionamiento de la firma y siempre, al menos, igual de eficaz que cualquier otra, siendo necesario que las empresas elaboren un informe que justifique estos sistemas para protegerse ante posibles negativas y denuncias de los trabajadores o sus representantes legales. A este respecto, en el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00076/2008, instruido por la Agencia Española de Protección de Datos a la Consejería de Educación y Cultura del Gobierno de las Illes Balears (Museo de Mallorca), se valora la recogida de los datos personales de los trabajadores del museo relativos a nombre, número de usuario, DNI y huella digital, sin haber procedido a informar previamente a la recogida de los datos, de forma expresa, precisa e inequívoca, de ninguno de los extremos previstos en el artículo 5.1 de la LOPD.
    5. La AEPD sanciona, en virtud del citado artículo 5.1 de la LOPD, la falta del cumplimiento de la LOPD en la implantación del fichaje mediante huella dactilar: el consentimiento para el uso de los datos personales de carácter biométrico.
    6. Considera necesaria no solo la información previa a los trabajadores, sino también un informe jurídico de público conocimiento que justifique los requisitos de idoneidad, justificación y necesidad que exige la Agencia Española de Protección de Datos para implantar la huella dactilar como sistema de fichaje (existiendo en la actualidad otra forma de fichaje mediante tarjeta), así como el consentimiento expreso de todos los trabajadores que se vean afectados por la medida, de manera que aquellos que no dieran su consentimiento para la recogida de sus datos biométricos continuaran fichando mediante tarjeta tal y como se viene realizando hasta la actualidad.
  2. Seguidamente, esta institución se dirigió al Departamento de Presidencia, Función Pública, Interior y Justicia, solicitando que informara sobre la cuestión suscitada.

    En el informe recibido del departamento, se señala lo siguiente:

    1. “La autora de la queja denuncia en su escrito una posible vulneración de la Ley Orgánica de Protección de Datos de Carácter Personal en la implantación por parte de la Administración de un nuevo sistema de fichaje mediante huella digital.

      En concreto, alega la interesada la falta de observancia de los requisitos que la jurisprudencia del Tribunal Supremo y la Agencia Española de Protección de Datos exigen para la implantación del citado sistema de fichaje.

    2. Con carácter previo al examen de la cuestión planteada, se ha de poner de manifiesto que esta Dirección General lleva tiempo trabajando en un sistema de control de presencias y absentismos (GPA) integrado en la herramienta integral de gestión de recursos humanos SAP que sustituya al actual Equatis, con el fin de conseguir una mejorcomunicación con SAP y una mayor estabilidad en la gestión del control de presencias.

      Dicho esto, la sustitución del actual sistema de Equatis ha comportado, entre otras medidas, implementar un sistema de recogida de los fichajes de forma independiente de Equatis y, por lo que a esta queja interesa, sustituir en aquellas ubicaciones en las que existe un terminal de pared el sistema de fichaje con tarjeta por un sistema táctil de reconocimiento de huella dactilar.

      En efecto, se ha considerado oportuno adaptarse a los nuevos sistemas y tecnologías existentes en el mercado y que el control de presencia y cumplimiento de horarios en dichas ubicaciones se verifique a través del sistema de huella digital. Sistema, por otra parte, que ha sido avalado por los tribunales de justicia como método adecuado, pertinente y no excesivo para controlar el cumplimiento del horario de trabajo de los empleados públicos.

      Su implantación requiere una recogida de huellas del personal que, en este caso, se ha visto afectado por el cambio del sistema de fichaje.

      Por ello, con fecha 6 de octubre de 2017 se remitió un correo a las Secretarias Generales Técnicas y órganos gestores de personal de los distintos Departamentos de la Administración de la Comunidad Foral de Navarra, en el que se informaba de los motivos y tiempos estimados para la implantación de este nuevo sistema y de los plazos en los que se preveía que se iba a proceder a la recogida de huellas del citado personal. Dicho correo fue enviadoigualmente, con fecha 9 de octubre de 2017, a las organizaciones sindicales presentes en la Mesa General de la Administración de la Comunidad Foral de Navarra y sus organismos autónomos, como representantes del personal, a efectos informativos.

    3. Sentado lo anterior, y en lo que respecta a la alegada vulneración de la Ley Orgánica de Protección de Datos de carácter personal que la autora de la queja aduce en su escrito, se ha de comenzar señalando que el titular del fichero de datos de control de accesos a edificios del Gobierno de Navarra es la Dirección General de Interior. El mencionado fichero está incluido en la Orden Foral 60/2017, de 12 de abril, de la Consejera de Presidencia, Función Pública, Interior y Justicia, por la que se crean, se modifican y se suprimen ficheros de datos de carácter personal dependientes del Departamento de Presidencia, Función Pública, Interior y Justicia (B.O. N. núm.116, de 16 de junio de 2017).

      Según se nos ha informado desde la citada Dirección General, el mencionado fichero no se ha visto modificado por la recogida de huellas de los empleados afectados, ni han variado tampoco los datos personales que constan en el mismo, dado que el sistema de control horario utilizado no guarda la imagen de la huella sino que automáticamente la misma es convertida en una cadena numérica. No se guarda tampoco en ningún tipo de formato de dibujo de cómputo, como *.BMP, *.JPG, *.PCX u otros conocidos, sino que conforma una cadena numérica mediante el uso de un algoritmo.

      En definitiva, se trata de un dato encriptado que no contiene ningún aspecto concreto de la personalidad y que, por tanto, no puede utilizarse como dato personal. A este respecto se ha de recordar que el artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter, define los datos de carácter personal identificadas o identificables.

      En virtud de lo expuesto, ha de concluirse que no existe vulneración alguna de la Ley Orgánica de Protección de Datos de Carácter Personal, pues este sistema de control horario por huella digital se limita a comparar la cadena numérica que genera cada huella mediante el algoritmo de encriptado con las previamente registradas, asociando el fichaje al empleado al que se encuentre vinculada la cadena numérica de que se trate (tal y como sucede con las tarjetas de fichaje), de modo que el tratamiento de esta información no tendrá mayor trascendencia que el de los datos relativos a un número de identificación personal, con el fin precisamente de asegurar el debido cumplimiento de las obligaciones derivadas de la relación funcionarial o laboral que vincula a los empleados públicos con la Administración”.

  3. Como ha quedado reflejado, la queja se presenta por la implantación en la Administración de la Comunidad Foral de Navarra de un sistema de fichaje de sus trabajadores mediante la huella dactilar. La autora de la queja muestra su disconformidad con el nuevo sistema de fichaje y solicita que se informe previamente a los trabajadores afectados y que se justifiquen, en un informe jurídico, de público conocimiento, las razones justificativas de su idoneidad, justificación y necesidad. Asimismo, la interesada solicita que los trabajadores afectados otorguen su consentimiento expreso al tratamiento de su huella dactilar y, en caso de que no presten dicho consentimiento expreso, que se permita a dichos trabajadores continuar realizando el fichaje de su jornada laboral mediante la tarjea, tal y como se viene realizando en la actualidad.

    El Departamento de Presidencia, Función Pública, Interior y Justicia, por su parte, expone en su informe las razones que justifican su actuación.

  4. Es de aplicación al caso objeto de queja la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en lo sucesivo, LOPD).

    El artículo 3 a) de la LOPD establece que, por dato de carácter personal, debe entenderse cualquier información concerniente a personas físicas identificadas o identificables.

    La jurisprudencia (por todas, la sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Supremo 5200/2007, de 2 de julio) y las resoluciones e informes emitidos por la Agencia Española de Protección de Datos (resoluciones dictadas en los expedientes E/03308/2017, E/03319/2017, E/03942/2015, etcétera), consideran que el dato referido a la huella dactilar es un dato de carácter personal, a los efectos de lo dispuesto en la LOPD.

    Por ello, las cuestiones que conciernen a la recogida y posterior tratamiento del dato de la huella dactilar como medio identificativo de los empleados públicos a los efectos de control de su jornada laboral, la justificación de la idoneidad y pertinencia de la recogida de tal dato, así como la información a las personas afectadas, deben atenerse a lo que establece la LOPD.

  5. El artículo 4.1 LOPD establece que: Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

    Asimismo, el artículo 5 de la misma Ley Orgánica reconoce el derecho de los interesados a los que se les soliciten datos personales a ser previamente informados de modo expreso, preciso e inequívoco.

    En este sentido, la sentencia del Tribunal Supremo 5200/2007, señalada anteriormente, contiene el siguiente pronunciamiento, en relación con la recogida del dato referido a la huella dactilar: Ciertamente, el registro formado por estos datos personales junto a los demás de este carácter incluidos en el fichero sí está sujeto a las previsiones de dicha Ley Orgánica entre las cuales se hallan las relativas a la información a los afectados prevista en el artículo 5.1 y a la notificación del fichero a la Agencia Española de Protección de Datos.

  6. A juicio de esta institución, la decisión de implantar un sistema de control por huella dactilar para el fichaje de la jornada laboral por parte de los empleados públicos, como sería el que es objeto de queja, necesita de un informe de la Administración pública (próxima responsable del tratamiento de los datos de carácter personal) que acredite que ese tratamiento resulta adecuado y pertinente, y que no es excesivo en relación con la finalidad que se persigue, como lo requiere el artículo 4.1 de la LOPD.

    Del informe del Departamento de Presidencia, Función Pública, Interior y Justicia, no queda constancia expresa de que, en el expediente administrativo correspondiente a la decisión de implantar ese sistema de control por huella dactilar de los empleados públicos, se haya emitido un informe con tal alcance, justificativo de la adecuación y proporcionalidad de la medida en relación con el ámbito y la finalidad perseguida.

  7. Por otro lado, el artículo 5.1 de la LOPD exige que, con carácter previo, se debe informar a los empleados públicos a los que se les requiera su huella dactilar de las diferentes cuestiones contenidas en dicho precepto.

    En concreto, el mencionado artículo establece el derecho de los interesados a los que se les soliciten datos personales a ser previamente informados de modo expreso, preciso e inequívoco de distintos extremos: a) de la existencia de un tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información, incluso cuando se recabe un nuevo dato personal, como es la huella dactilar, hasta entonces inexistente en la base de datos de la Administración, o destinado a un fin diferente del que tuviera. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas –cuestiones- que les sean planteadas. c) De las consecuencias de la obtención de esos datos y de la negativa a suministrarlos. d) De la identidad y dirección del responsable del tratamiento y de su representante.

    Del informe remitido por el Departamento de Presidencia, Función Pública, Interior y Justicia, no se deduce que se haya informado de modo expreso, preciso e inequívoco, a los empleados públicos afectados por la recogida de dicho dato. Únicamente se indica que se ha informado a las Secretarías Generales Técnicas y a los órganos gestores de personal de los distintos Departamentos de la Administración de la Comunidad Foral de Navarra, y a las organizaciones sindicales presentes en la Mesa General de la Administración de la Comunidad Foral de Navarra y sus organismos autónomos. Sin embargo, es obvio que tales unidades administrativas y representantes de los trabajadores no son los titulares de los datos de carácter personal, ni las personas físicas afectadas directamente por la decisión, por lo que la intervención de estas unidades y personas representantes no excluye ni sustituye la de los afectados personalmente en su calidad de únicos titulares de los datos.

  8. En consecuencia, y de conformidad con las facultades que le atribuye el artículo 34.1 de la Ley Foral 4/2000, de 3 de julio, la institución del Defensor del Pueblo de Navarra ha estimado necesario:

    Recomendar al Departamento de Presidencia, Función Pública, Interior y Justicia, que:

    1. En el expediente para la implantación de un sistema de control por huella dactilar para el fichaje de la jornada laboral por parte de los empleados públicos, se justifique, de acuerdo con lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que el tratamiento del dato referido a la huella dactilar de los empleados públicos resulta adecuado, pertinente y no excesivo en relación con el ámbito y la finalidad para los que se vaya a obtener el referido dato.
    2. Informe previamente,de modo expreso, preciso e inequívoco a los empleados públicos afectados por la recogida del dato referido a su huella dactilar, de acuerdo con lo previsto en el artículo 5.1de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

De conformidad con el artículo 34.2 de la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra, procede que el Departamento de Presidencia, Función Pública, Interior y Justicia, informe, como es preceptivo, en el plazo máximo de dos meses, si acepta esta resolución, y, en su caso, las medidas adoptadas para su cumplimiento.

De acuerdo con lo establecido en dicho precepto legal, la no aceptación de la resolución podrá determinar la inclusión del caso en el Informe anual correspondiente al año 2018 que se exponga al Parlamento de Navarra con mención expresa de la Administración que no haya adoptado una actitud favorable cuando se considere que era posible.

A la espera de su respuesta, le saluda atentamente,

El Defensor del Pueblo de Navarra

Nafarroako Arartekoa

Francisco Javier Enériz Olaechea

Compartir contenido