El Informe 0324/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la legalidad de implantar un sistema de control horario basado en la lectura de huellas dactilares, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
El informe comienza recordando que los datos biométricos, como las huellas dactilares, son considerados datos de carácter personal según la LOPD. Estos datos permiten la identificación de individuos y, por tanto, su tratamiento debe ajustarse a la normativa vigente. La LOPD establece que los datos personales solo pueden ser recogidos y tratados si son adecuados, pertinentes y no excesivos en relación con las finalidades determinadas y legítimas para las que se obtienen.
En el caso específico del control horario, el informe concluye que el tratamiento de la huella digital no es excesivo, ya que la información contenida en este dato no revela aspectos concretos de la personalidad del trabajador, sino que simplemente permite su identificación. Además, el artículo 6.2 de la LOPD exime del consentimiento del interesado cuando los datos son necesarios para el mantenimiento o cumplimiento de una relación laboral.
El informe también subraya la necesidad de informar a los trabajadores sobre las consecuencias disciplinarias que podría acarrear su negativa a que se trate su huella digital. Además, los datos obtenidos solo pueden ser utilizados para la finalidad específica de control horario y no para otras finalidades incompatibles.
En cuanto a las medidas de seguridad, el informe indica que la huella digital no es considerada un dato especialmente protegido o sensible, por lo que se aplicarán las medidas de seguridad de nivel básico previstas en el Reglamento de Seguridad.
El informe también aborda la situación específica en la que trabajadores de dos administraciones públicas diferentes utilizan las mismas instalaciones. En este caso, la mancomunidad podría acceder a los datos de control horario de los trabajadores de la otra administración, lo que requeriría el consentimiento de estos trabajadores. Sin embargo, esta situación podría encajar en la figura del «encargado del tratamiento», siempre y cuando se suscriba un contrato que regule esta relación y se cumplan las condiciones establecidas en la LOPD y su Reglamento.
En resumen, el informe concluye que la implantación de un sistema de control horario basado en la lectura de huellas dactilares es conforme a la LOPD, siempre y cuando se cumplan las condiciones establecidas en la normativa vigente, se informen adecuadamente a los trabajadores y se adopten las medidas de seguridad correspondientes. Además, en el caso de relaciones interadministrativas, se debe regular adecuadamente la figura del encargado del tratamiento.