La reciente publicación por parte de la Agencia Española de Protección de Datos (AEPD) de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos ha causado bastante revuelo dentro del sector de la privacidad y protección de datos personales. La Guía prohíbe de facto la utilización de datos biométricos para el control de presencia y el registro de jornada laboral, pues descarta todas las opciones que se venían utilizando para legitimar los sistemas y únicamente deja abiertas dos opciones: i) que su implementación sea contemplada expresamente mediante convenio colectivo (lo cual resulta poco probable) o por una norma con rango de ley (lo cual resulta, incluso, menos probable) y ii) que el responsable pueda justificar su implementación mediante el interés público esencial por motivos de seguridad.
En vista de lo extendida que se encuentra la utilización de datos biométricos para dichas actividades de tratamiento (por ejemplo, a través de lectores de huellas dactilares o sistemas de reconocimiento facial), el asombro y rechazo que ha suscitado la Guía han sido abrumadores. Entre los principales argumentos en contra del criterio seguido por la AEPD destacan: i) lo legalista de la interpretación en cuanto al principio de minimización y al juicio de necesidad en su relación con los requisitos para que el consentimiento se entienda libre, ii) la falta de perspectiva al pretender ir en contra de avances tecnológicos indetenibles y iii) las consecuencias económicas que generará este criterio a las empresas dedicadas a la instalación de este tipo de soluciones tecnológicas.
Al margen de lo acertados que resultan varios de estos argumentos, considero que ha pasado desapercibida otra cuestión que, por mera coherencia metodológica, habría de ser la primera en examinarse: la forma a través de la cual la AEPD ha dejado conocer este nuevo criterio. Resulta indiscutible la legitimación de la AEPD para fijar criterios en torno a la interpretación a la normativa de protección de datos en España, pues tanto el Reglamento UE 2016/679 General de Protección de Datos, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales y el Real Decreto 389/2021 por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos le otorgan esta competencia. Ahora bien, que dicha interpretación se haga a través de la publicación de una Guía, sí resulta, al menos, discutible.
Se debe destacar que las guías publicadas por la AEPD no son de documentos formales, tampoco son fuente del derecho y su aprobación no requiere que se siga un procedimiento determinado previamente; son meramente documentos informativos. De hecho, si atendemos a la Instrucción 1/2021, de 2 de noviembre, aprobada por la misma AEPD y que versa precisamente sobre su función consultiva, veremos que su disposición sexta señala que “La AEPD elabora y ofrece en su web contenidos, materiales, documentos, preguntas y respuestas frecuentes (FAQ), guías, manuales, recursos y herramientas destinados a informar sobre el RGPD, la LOPDPGDD y demás normativa en materia de protección de datos, y a facilitar y ayudar a su cumplimiento” (negritas añadidas). Parece claro que la función de las guías es informar sobre la normativa de protección de datos y que de esta función presuntamente inofensiva se desprende la falta de garantías requeridas para su aprobación.
Por otro lado, la LOPDGDD –ampliando las competencias establecidas en el RGPD para las autoridades de control- contempla en su artículo 55.1 una figura mucho más interesante, las denominadas “Circulares de la Agencia Española de Protección de Datos”. Se tratan de disposiciones que fijan los criterios a los que responderá la Agencia en la aplicación de la normativa de protección de datos, su elaboración exige el seguimiento de un procedimiento determinado legalmente (abordado más adelante) y adquieren carácter obligatorio tras su publicación en el BOE.
Aunque se trata de una figura poco usada, hace algunos meses la AEPD publicaba su Circular 1/2023, de 26 de junio, sobre la aplicación del artículo 66.1.b) de la LGT en la que se pronunciaba principalmente sobre la pertinencia de usar el consentimiento y el interés legítimo como bases de legitimación para el tratamiento de datos en llamadas comerciales. Siendo que la Guía cuyo comentario nos ocupa se dedica principalmente a fijar los criterios de interpretación sobre la pertinencia del uso del consentimiento y de la obligación legal como bases de legitimación para los tratamientos de control de presencia y registro de la jornada, resulta llamativo que no se haya optado por la circular como vía para clarificar esta cuestión. De hecho, la ya mencionada Instrucción 1/2021 dispone que “Atendiendo a dicha competencia y al carácter obligatorio de las circulares, se considera que las mismas deben configurarse como el elemento prioritario a través del cual la AEPD establezca los criterios generales de interpretación de la normativa sobre protección de datos personales, contribuyendo de este modo a incrementar la seguridad jurídica” (negritas añadidas).
Esta preponderancia de las circulares frente a otras vías de actuación de la AEPD se constituye como una garantía para los administrados, pues en la medida de que las circulares requieren un procedimiento concreto para su aprobación, disminuyen el riesgo de arbitrariedades a la vez que dificultan que la Agencia pueda cambiar constantemente de criterio sin mayores consecuencias, lo cual resulta incompatible con el principio de seguridad jurídica. En ese sentido, el Estatuto de la Agencia Española de Protección de Datos recoge en su artículo 6 los requisitos formales que debe tener toda circular, los cuales incluyen la necesidad de la elaboración de un Proyecto de Circular con su respectivo informe técnico, un informe jurídico o de legalidad, audiencia a las partes titulares de derechos o intereses afectados, la elaboración de una memoria justificativa y un dictamen del Consejo de Estado.
La publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos ha afectado manifiestamente al sector de proveedores de soluciones con tecnología biométrica y a las empresas y Administraciones Públicas que han invertido recursos en instalar estos sistemas (amparados por el criterio previo de la misma AEPD) sin que siquiera se les haya dado audiencia, sin que se haya analizado el impacto económico de este cambio de criterio, sin un período de transición para su entrada en vigor y con argumentos jurídicos cuestionados por parte importante del sector de la protección de datos. Además, cabe señalar que la vía escogida por la AEPD para fijar su criterio sobre el uso de datos biométricos también tiene consecuencias a efectos de recurrir su actuación, pues una guía no se trata de una norma recurrible ni de un acto impugnable, por lo que habrá que esperar que se dicte una resolución aplicando los criterios contenidos en la Guía o a que se efectúe una consulta a la Agencia (vía art 36 del RGPD) ante el resultado negativo de una Evaluación de Impacto, pero con el riesgo de sanción como consecuencia del tratamiento de los datos biométricos sin base de legitimación o por no cumplir con los principios de minimización ni con el juicio necesidad.
Es cierto que la Agencia realiza una magnífica labor en cuanto a la publicación de guías y recursos informativos, que los mismos resultan un instrumento fundamental para cualquier persona que se dedique a la protección de datos y que, en un sector relativamente reciente y estrechamente relacionado con la tecnología, es muy útil tener documentos a los cuáles acudir cuando surgen dudas, puesto que es imposible para la legislación correr al mismo ritmo que la tecnología. Ahora bien, lo práctico de esta figura no implica ni debe implicar un relajamiento en cuanto a las garantías establecidas legalmente para que la AEPD ejerza su figura consultiva, ya que el ejercicio de poderes cuasilegislativos debe estar sometido como mínimo a la existencia de un procedimiento formal en cuanto a su aprobación.
