1. La hipótesis del uso de huellas digitales y una curiosa interpretación
En Chile, próximamente entrará en vigencia la Nueva Ley de Tratamiento y Protección de Datos Personales. Esto es especialmente importante pues, luego de una larga tramitación, tomará pleno vigor en un momento en el cual el valor de los datos y su tratamiento están teniendo un especial valor. Por esta razón, por la novedad regulativa y también contextual, no es raro que en lo sucesivo se desplieguen interesantes y novedosas interpretaciones sobre la ley y su aplicación.
Es en el contexto de la próxima entrada en vigencia de la Ley N 21.719, que he tenido oportunidad de leer una interesante y curiosa columna[1] que Carlos Reusser ha sostenido respecto de la utilización de la huella digital en la autenticación (o verificación) de la identidad de un trabajador para su registro de asistencia sería problemática de conformidad a la nueva regulación sobre protección de datos personales. Esa interpretación es la que me interesa examinar y discutir.
Sostiene lo siguiente: “El nuevo contenido tiene múltiples impactos en materia laboral, pero en lo que nos interesa (y que da el título a esta columna), por amplia regla general, no permite el uso de datos biométricos para controlar la asistencia a la jornada laboral de los trabajadores, como es la huella dactilar, el reconocimiento facial o el patrón del iris, entre otros”. Para fundar esta opinión, recurrirá a dos tipos de razones: unas relativas a la nueva legislación y otra relativas a alguna forma de afectación de los derechos fundamentales del trabajador. Veamos la argumentación por separado.La primera razón (relativa al articulado de la ley) es que los “datos biométricos, como la huella dactilar, son considerados datos sensibles según la legislación”, lo cual significaría que están “especialmente protegidos” lo que quiere decir que su “uso sólo está permitido si el trabajador otorga su consentimiento de forma expresa”. Lo interesante de su reflexión es que asume dos cuestiones: a) “la primera es que la ley presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando no es necesaria efectuar esa recolección (para los efectos de controlar asistencia, no “necesitas” los datos biométricos)” y b) “la segunda es que el trabajador mantiene siempre el derecho inalienable de retirar su consentimiento, a lo que se suma que, a ojos de la ley (y de la futura Agencia de Protección de Datos Personales), corresponde al empleador demostrar que contó, desde el principio, con el consentimiento informado del trabajador y que, además, el tratamiento de datos fue realizado en forma lícita, leal y transparente”.
La segunda razón (relativa a un eventual problema de vulneración de derechos fundamentales), parte de la consagración constitucional de la protección de datos. Señala Reusser que “el derecho a la protección de datos personales está protegido constitucionalmente en el artículo 19 Nº4 de la Constitución y cualquier restricción o limitación al mismo debe interpretarse de manera restrictiva”. Luego, sostendrá que “el exigir los datos especialmente protegidos de los trabajadores no guarda ninguna proporción con el uso de los mismos para el control de la asistencia, sobre todo si consideramos que hay muchas otras maneras de hacer lo mismo sin comprometer derechos fundamentales, como son el uso de tarjetas magnéticas, aplicaciones en teléfonos móviles, códigos QR de entrada/salida y otros sistemas digitales”. En consecuencia, para Reusser, “exigir datos biométricos para realizar el control de asistencia no es un requerimiento proporcional al objetivo que se persigue, sino sólo una mala práctica que se ha extendido y normalizado” e incluso más “los datos sensibles, como es el caso de los biométricos, tienen una especial protección del ordenamiento jurídico, dada la convicción que existe de que, su sólo conocimiento por terceros, puede poner en riesgo todos los derechos fundamentales de las personas”. Su recomendación final: buscar métodos que no vulneren derechos fundamentales.
Hay bastante que decir respecto de esta interpretación, para ello ordenaré mi reflexión en dos partes: una crítica, relativa a la interpretación de Reusser y otra reflexiva (y general) respecto de la actitud de la dogmática jurídica respecto a las nuevas tendencias regulativas.
2. Una crítica
La primera cuestión que merece la pena preguntarse es si la hipótesis respecto de la nueva legislación es verdadera, a saber, si efectivamente la nueva regulación establece que “por amplia regla general, no permite el uso de datos biométricos para controlar la asistencia a la jornada laboral de los trabajadores, como es la huella dactilar, el reconocimiento facial o el patrón del iris, entre otros”.
Sobre el uso de datos, y en especial los biométricos, la Ley 21.719 establece algunos Artículos que es importante tener a la vista:
Primero el que establece la definición, según el epígrafe, de datos personales sensibles en el Artículo 2, literal g) la cual señala: “datos personales sensibles: tendrán esta condición aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural”.
Segundo, la regla general de conformidad a la ley en materia de datos personales sensibles: “Artículo 16 Regla general para el tratamiento de datos personales sensibles. El tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente”.
Tercero, la definición de dato biométrico que proporciona la ley que, cabe hacer presente, es algo muy distinto a lo que se regula en el artículo en Artículo 16 bis de la misma ley en sus dos últimos incisos:
“Artículo 16 ter.- Datos personales biométricos. Son datos personales biométricos aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.
Sólo podrán tratarse estos datos cuando se cumpliere con lo dispuesto en el inciso primero del artículo 16 y siempre que el responsable proporcione al titular la siguiente información específica:
- a) La identificación del sistema biométrico usado;
- b) La finalidad específica para la cual los datos recolectados por el sistema biométrico serán utilizados;
- c) El período durante el cual los datos biométricos serán utilizados, y
- d) La forma en que el titular puede ejercer sus derechos.
Los datos personales biométricos podrán tratarse sin consentimiento sólo en los casos señalados en el inciso segundo del artículo 16 bis”.
Cuarto, relativo a la presunción de consentimiento no libre que establece en el inciso 6 del Artículo 12: “Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección”.
Como es obvio, esta es una presunción simplemente legal que es derrotable en virtud de, al menos, dos condiciones que pueden o no concurrir copulativamente: primero una explícita, que es probar la necesidad de la recolección; segundo una implícita, que es ofrecer una vía alternativa a la recolección del dato sensible pues el objetivo de la norma expresada por esa disposición es evitar
Así, en virtud de una lectura rápida del articulado de la ley, resulta difícil pensar un régimen que por “regla general” prohíba el tratamiento de datos, pues además de ser una interpretación que se aleja del objetivo de la ley (regular el uso y tratamiento de datos) esto es una realidad operacional hace décadas en servicios públicos, bancarios, laborales, entre otros que han optimizado el desarrollo de la industria y el funcionamiento del Estado. Esta nueva ley viene a establecer un régimen de tratamiento, condiciones y formas de protección, no a establecer un régimen general de prohibiciones teniendo como principal fundamento de su redacción la idea de libertad. Por lo demás, esta interpretación la confirma el inciso 1° del Artículo 1° de la nueva regulación, el cual declara su objeto y ámbito de aplicación: “La presente ley tiene por objeto regular la forma y condiciones en la cual se efectúa el tratamiento y protección de los datos personales de las personas naturales, en conformidad al artículo 19, N° 4, de la Constitución Política de la República”. De hecho, este mismo artículo en su inciso 3° reitera la idea del establecimiento de un “régimen de tratamiento y protección de datos”.
En consecuencia, la hipótesis de partida de Reusser parece no confirmarse: la regulación establece por regla general la facultad de tratar estos datos bajos ciertas condiciones y no un sistema de prohibición/excepción. La regulación permite, faculta y transparenta la forma en que son utilizados y tratados estos datos biométricos, v.gr. las huellas digitales, bajo condiciones especiales (misma idea se encuentra en el Artículo 12 de la Nueva Ley). Luego, ante un mal uso o incumplimiento de condiciones establecidas en la ley procede las sanciones que correspondan, el derecho a retracto, y las vías de reclamación que se estimen pertinentes. Así, el uso de la huella digital por parte de una empresa como medio de control de asistencia, prima facie, no está prohibido sino que condicionado al cumplimiento de ciertos requisitos que establece la ley.
Desde luego que, de conformidad al nuevo régimen de tratamiento y protección de datos, se requerirá de la adaptación de empleadores y la industria a un conjunto de nuevas obligaciones, adaptar contratos, crear protocolos, entre otras cosas bastante obvias (no es ninguna novedad ni sorpresa pues es lo que le ley ha consagrado y para ello está la vacancia legal de la misma). Sin embargo, de esto no se sigue sin más una interpretación como la precedente.
La otra cuestión que merece la pena preguntarse, relativa al segundo argumento, es si el caso que plantea es o no calificable como un conflicto de derechos fundamentales que amerite un análisis de proporcionalidad.
La ponderación alexiana, a la que supongo refiere con la idea de proporcionalidad y a una “razón de derechos fundamentales”, presupone (entre otras cosas) la “colisión/conflicto” entre dos derechos fundamentales (una vulneración no equivale, sin más, a una colisión). Y aquí el primer gran problema de este segundo argumento: no hay tal “colisión[2]”. De hecho, su argumento supone de forma implícita que el tratamiento de un dato sensible es prima facie un tratamiento atentatorio de un derecho fundamental del trabajador. La legislación establece lo contrario: establece un régimen para el tratamiento de datos, órganos de control, define tipos de datos y condiciones para su tratamiento, y una presunción simplemente legal respecto del consentimiento no libre.
3. Una reflexión
En este contexto hay que preguntarse ¿cuál es la vulneración si el empleador dispone de un anexo contractual que, cumpliendo en detalle con la legislación que entrará en vigencia, incluye como sistema de registro de asistencia laboral el uso de huella digital que ya venía usando? Justamente acá está la necesidad que representa al costo hundido de implementación del sistema sobre todo en empresas e industrias de gran tamaño pues, esto implica no sólo costear un nuevo sistema sino que también implementarlo y alinear su funcionamiento con otros procesos de la empresa con los cuales ya estaba previamente sincronizado. Pero bueno, si esto no fuera suficiente ¿si ofrece a los trabajadores un sistema alternativo a la huella que, de forma progresiva, pueda implementarse atendido los costos económicos de un sistema nuevo y/o paralelo? ¿Dónde está la colisión?
Ocurre que es altamente posible que más de algún empleador utilice este sistema por su fiabilidad, seguridad del registro, dificultad en el fraude del registro, sincronización con las demás áreas de la empresa, e incluso por una razón económica: su implementación fue exitosa y los costos son razonables para el empleador. Su uso por parte de la empresa no implica mala fe, mal uso de los datos o vulneración de un derecho; aquí justamente está la necesidad de mantener un sistema que fue exitoso en su implementación y que representa un costo hundido de implementación. Todo esto siempre ajustándose al cumplimiento de los requisitos que establece la Nueva Ley.
Puede pensarse que, en cierto tipo de contratos laborales, el control de asistencia es necesario e indispensable para (dentro de otras cosas) efectos de controlar el cumplimiento del mismo. De este modo, un contrato laboral que considera el cumplimiento de una jornada laboral en una locación específica (como suele ser el contrato de un profesor, de algunos funcionario público, del cajero de un banco, entre otros) requiere necesariamente tener un sistema de control de asistencia a fin de (tomando un ejemplo obvio) computar a fin de mes los pagos correspondientes. Entonces, en un contrato laboral como los mencionados, ¿es necesario recabar la información relativa al control de asistencia? sí; de conformidad a la nueva ley ¿el tratamiento de datos está permitido de conformidad a ciertos requisitos y principios como el de finalidad y proporcionalidad que el responsable debe cumplir? sí; ahora bien, respecto del registro de asistencia por medio del uso de la huella digital ¿la necesidad y proporcionalidad del uso de un sistema de registro de asistencia de este tipo está prima facie prohibido? no; ¿es discutible su uso? sí; ¿corresponderá al responsable acreditar el cumplimiento de todos los requisitos legales para dicho tratamiento, la adecuación a los principios de proporcionalidad/finalidad, la disponibilidad de la revocación del consentimiento libre, un sistema alternativo para la hipótesis de revocación y probar la necesidad del registro por medio de huella digital de conformidad a criterios económicos, de seguridad, y garantizando su protección y uso para lo estrictamente señalado? desde luego.
Finalmente, se debe recordar que el inciso 6 del artículo 12 establece una presunción simplemente legal y no una prohibición que excepcione la regla general que faculta el tratamiento de datos de conformidad a todos los requisitos y adecuándose a los principios establecidos en la ley. La regulación descansa en el principio de libertad, proporcionalidad, finalidad y transparencia que intentan establecer un régimen que permite el tratamiento de datos y su protección de forma eficaz y reglada. En un tema como este, con una industria y Estado que de forma directa o indirecta son sujetos imperados por esta nueva regulación, es necesario recordar que las reglas y principios requieren de interpretación y concretización, y que un elemento indispensable a tener en cuenta es la realidad en la cual se aplica y funciona la legislación.
Este nuevo régimen de tratamiento y protección de datos personales seguirá despertando reflexiones interesantes e interpretaciones discutibles. Sin perjuicio de ello, es importante no perder de vista la realidad del uso de datos, los estándares con los que operan muchas empresas o incluso el Estado, las virtudes del uso de herramientas tecnológicas y la realidad de los usos/costos de años de funcionamiento. Es importante que el entusiasmo dogmático no genere los problemas, ni establezca como definitivas cuestiones abiertas o disputables, sino que identifique y resuelva problemas concretos, aquilatando la interpretación de esta regulación.
[1] Acá la columna: https://estadodiario.com/columnas/se-puede-seguir-usando-la-huella-dactilar-y-datos-biometricos-para-registrar-la-asistencia-de-los-trabajadores/
[2] Desde luego también es discutida y discutible la tesis de la colisión.