En el ámbito del derecho laboral, el nuevo criterio de la AEPD afectará a aquellas empresas que hubieran optado por implementar sistemas de control biométricos para llevar a cabo el registro de la jornada de trabajo regulado en el artículo 34.9 ET o para realizar el control de accesos en relación con la previsión del artículo 20.3 ET.
Es relevante destacar que el artículo 4.14 del Reglamento define los datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos (huellas). En consecuencia, los sistemas de procesamiento de datos biométricos recogen y procesan los referidos datos, realizando operaciones que permitan su tratamiento para identificación, seguimiento o perfilado de dichas personas.
En relación con lo anterior, el artículo 9.1 del Reglamento prohíbe expresamente el tratamiento de datos biométricos. No obstante, en su artículo 9.2 se establecen excepciones en las que sí se puede llevar a cabo el mismo.
 
Sin embargo, el pasado 23 de noviembre de 2023, la AEPD publicó una Guía en la que, en base al criterio del Comité Europeo de Protección de Datos en sus Directrices 05/2022, modifica el criterio expuesto anteriormente, asumiendo que los datos biométricos constituyen una categoría especial de Datos Personales.
Así, la AEPD considera que el concepto de dato biométrico abarca tanto la “autenticación” como la “identificación” pues ambos se incluyen en el concepto de «tratamiento de datos personales de categorías especiales», por lo que a ambos se extiende la prohibición general del artículo 9.1 del Reglamento.
La AEPD también indica que únicamente cabe excepcionar la prohibición de tratamiento de los datos de categoría especial cuando exista norma de rango legal -o convenio colectivo- que obligue a la empresa a tratar los datos biométricos (art. 9.2.b del Reglamento), es decir, que el tratamiento de datos biométricos sea «necesario», o cuando medie consentimiento explicito por parte del interesado (empleado o tercero que acceda a las instalaciones) para el tratamiento de dichos datos personales (art. 9.2.a del Reglamento).
La AEPD considera que la normativa española es insuficiente, en los términos previstos en el Reglamento, para que se justifique la necesidad de tratar datos biométricos para llevar a cabo el registro de jornada laboral. Asimismo, en caso de que el convenio colectivo aplicable incluyera el registro de jornada basado en datos biométricos de la persona trabajadora, se debería justificar la necesidad de este tratamiento, aportando las razones por las cuales no son adecuados los sistemas existentes como tarjetas, certificados, sistemas contact-less, etc.
Igualmente se establece que, de acuerdo con las precitadas Directrices 05/2022, en las relaciones laborales existe un desequilibrio de poder entre el empleado y el empleador, lo que impide que el consentimiento se otorgue de manera libre, sin que ello resulte una base jurídica idónea.
En definitiva, en virtud del nuevo criterio apuntado, las empresas deberán revisar sus sistemas de registro horario o de control de accesos que conlleven tratamiento de datos biométricos para determinar si es posible seguir utilizándolos (lo que auguramos muy complicado por cuánto la Empresa debería poder acreditar objetivamente la necesidad e idoneidad de estos sistemas de tratamiento-) o, por el contrario, deberán proceder a implementar otros sistemas más «respetuosos» con los derechos fundamentales de las personas trabajadoras.