Ir al contenido principal

La mano como contraseña: Corte de Casación Italiana rechaza el uso no consentido de biometría en control de trabajadores

 La Corte de Casación italiana se pronunció recientemente sobre la legalidad de los sistemas biométricos utilizados por empresas para el control de acceso de sus empleados. En concreto, mediante la sentencia no. 13873 de 2023, el alto tribunal desestimó el recurso de una compañía que pretendía validar el uso de  la fisonomía de la mano sin consentimiento específico de un trabajador.


Se trata de la sentencia Nº 13873 dictada por la Corte de Casación Civil, Sección Laboral, el 19 de mayo de 2023. El caso se originó cuando un empleado demandó a la empresa (omissis) al considerar ilegítimo el sistema de registro de entrada y salida mediante reconocimiento de geometría de mano que había implementado. Tanto en primera instancia como en apelación se falló a favor del demandante. Ante la Corte de Casación, la compañía alegó motivos de seguridad corporativa, pero el tribunal ratificó que, al no mediar permiso explícito del trabajador, la medida violaba la normativa sobre protección de datos personales.

El iter procesal que condujo al recurso de casación fue el siguiente:

·      En primera instancia, el Tribunal de Nápoles acogió la demanda de un trabajador (B.G.) que solicitaba se declarara ilegítimo el uso del sistema biométrico por parte de la empresa (omissis) y se ordenara la interrupción de su uso respecto a él.

·      La empresa interpuso recurso de apelación ante la Corte de Apelación de Nápoles, que confirmó la sentencia de primera instancia y rechazó el recurso.

·      Ante esto, la empresa (omissis) presentó recurso de casación ante la Corte Suprema de Casación, formulando dos motivos de impugnación.

La Corte de Casación rechazó el recurso y confirmó la ilegitimidad del sistema biométrico en relación al trabajador hasta la fecha posterior señalada por la Autoridad de Protección de Datos.

La empresa recurrente (omissis) formuló dos motivos de recurso ante la Corte de Casación:

En el primer motivo, la recurrente alegó la violación y falsa aplicación de la normativa sobre protección de datos personales (D.Lgs. 196/2003), argumentando que la sentencia de apelación no había valorado correctamente el balance entre la tutela de la privacidad del trabajador y las exigencias de seguridad de la empresa.

En el segundo motivo, denunció la violación de las normas procesales sobre poderes instructorios del juez (artículos 421 y 437 del Código Procesal Civil italiano). Sostuvo que la Corte de Apelación no tuvo en cuenta una autorización posterior al tratamiento biométrico emitida por la Autoridad de Protección de Datos, cuya prueba no le había sido solicitada en el proceso.

En síntesis, la recurrente consideraba que no se había ponderado adecuadamente su interés legítimo en implementar el sistema biométrico por motivos de seguridad y que no se consideró una autorización posterior de la Autoridad de Protección de Datos que validaba el uso de dicho sistema. Por ello, alegó infracciones legales y procesales.

El sistema de control de acceso implementado por la empresa (omissis) se basaba en la captura de datos biométricos de la mano de cada empleado. Mediante este sistema, se transformaba el dato biométrico de la mano en un modelo de 9 bytes, que se archivaba y asociaba con un código numérico de referencia. Este código se almacenaba en una tarjeta magnética (badge) que se entregaba a cada empleado. Al utilizar la tarjeta magnética para acceder a las instalaciones, el sistema verificaba que el badge correspondiera a la misma mano utilizada para configurarlo inicialmente. De esta manera, a través de la lectura de la geometría de la mano, el sistema controlaba en tiempo real la identidad de la persona que estaba accediendo a los lugares de trabajo.

La empresa (omissis) sostenía la legitimidad de este sistema biométrico de control de accesos basándose en las necesidades de seguridad. Argumentaban que la implementación del sistema era necesaria debido a la presencia de personas condenadas en régimen de semilibertad entre sus empleados, cuya presencia en el trabajo debía ser certificada.

Los puntos centrales de su argumentación se resumen en los siguientes:

·      Tutela preventiva: sostenía que la principal razón era brindar una protección preventiva a sus empleados ante posibles actos intimidatorios o de amenaza a su integridad física.

·      Proporcionalidad: consideraba que el sistema biométrico era proporcional y adecuado para los fines de control horario y de acceso perseguidos.

·      Autorización del Garante (Autoridad de Protección de Datos): argumentaba que en una decisión posterior el Garante había autorizado el tratamiento de los datos biométricos sin consentimiento de los interesados, lo que validaba la legalidad del sistema.

·      Consentimiento genérico: indicaba que los empleados habían prestado un consentimiento genérico al tratamiento de sus datos personales por medios electrónicos.

Así, se advierte que la empresa invocaba principalmente motivos de seguridad corporativa, proporcionalidad de la medida, autorización del Garante y consentimiento genérico de los trabajadores, para fundamentar la legitimidad del sistema desde su perspectiva.

Por su parte, el Tribunal de Apelación recurrido consideró:

·      Que el derecho a la protección de datos personales y el consentimiento informado del trabajador debían prevalecer sobre las alegadas necesidades de seguridad de la empresa.

·      La empresa tenía que haber ponderado los distintos intereses y derechos en juego antes de implementar el sistema biométrico, no en el proceso judicial.

·      Correspondía a la empresa demostrar que el tratamiento de datos biométricos sin consentimiento encuadraba en alguna de las excepciones legales, lo que no hizo.

·      No se podía hacer una valoración abstracta de intereses contrapuestos cuando la ley prevé taxativamente las excepciones al consentimiento informado.

·      El interés de seguridad empresarial que esgrimió la compañía no la eximía de cumplir con la normativa sobre protección de datos.

En definitiva, la Corte de Casación Italiana rechazó el recurso, al considerar que el tratamiento de datos biométricos constituye un "tratamiento de datos personales" y como tal está sujeto a la normativa de protección de datos (D.Lgs. 196/2003).

Dicha normativa establece que el tratamiento de datos biométricos requiere el consentimiento específico e informado del interesado, salvo que esté amparado por alguna de las excepciones legales. En este caso estaba acreditado que no existía un consentimiento específico del trabajador para el tratamiento de sus datos biométricos a través del sistema de geometría de la mano. Y por último, la empresa no demostró que el tratamiento encuadrara en alguna de las excepciones legales que permiten el tratamiento sin consentimiento.

Por otra parte, la autorización de la Autoridad de Protección de Datos se dio con posterioridad a la primera sentencia, por lo que no era relevante para juzgar la legalidad del sistema en el período anterior.

Con base a estas consideraciones, la Corte de Casación decidió:

Desestimar los motivos del recurso de casación interpuesto por la empresa.

Confirmar la ilegitimidad del tratamiento de datos biométricos mediante el sistema de geometría de mano implementado por la empresa, al no mediar consentimiento específico del trabajador.

Ratificar la orden de interrumpir el uso de dicho sistema respecto al trabajador demandante.

En síntesis, el tribunal supremo falló ratificando que el uso del sistema biométrico sin consentimiento específico violaba la normativa de protección de datos personales.

Comentarios

Publicar un comentario

Entradas populares de este blog

Cartilla Ley Nº 21.545, que establece la promoción de la inclusión, la atención integral, y la protección de los derechos de las personas con trastorno de espectro autista en el ámbito social, de salud y educación

De acuerdo al artículo 3 de la Ley N°21.545, los principios aplicables en relación a las personas con trastorno del espectro autista son: ·        Trato digno y respetuoso en todo momento. Se debe utilizar un lenguaje claro y sencillo. ·        Autonomía progresiva según su edad, madurez y desarrollo. ·        Perspectiva de género en las medidas que se adopten. ·        Intersectorialidad en las acciones del Estado. ·        Participación y diálogo con las personas con TEA y sus organizaciones. ·        Reconocimiento de la neurodiversidad. ·        Detección temprana del trastorno. ·        Seguimiento continuo a lo largo de la vida. En resumen, los principios buscan dar un trato digno, respetar la autonomía creciente, involucrar a las personas con TEA, detectar y apoyar oportunamente, con enfoque de género, intersectorialidad y reconociendo la neurodiversidad.   De acuerdo al análisis de la Ley N°21.545, se pueden identificar los siguientes 10 objetivos principales: 1.       Asegura
Publicar un comentario
Leer más

Despedidos por un Algoritmo. El caso Xsolla

"Esta historia resonó más entre los profesionales de recursos humanos y juega con el miedo de los trabajadores a que la tecnología se utilice contra ellos. Esto es comprensible. Creo que las decisiones impulsadas por la IA están desempeñando un papel más importante en nuestras vidas. ¿Es esto algo de lo que hay que temer? ¿O una nueva oportunidad?" This story resonated most with HR professionals and plays on workers' fear of technology being used against them. This is understandable. I believe AI-driven decisions are playing a bigger role in our lives. Is this something to be afraid of? Or a new opportunity? — Shurick (@agapitovs)  August 7, 2021 El párrafo anterior corresponde a un tweet publicado por Aleksandr Agapitov, fundador de la empresa Xsolla, luego de haberse divulgado que el despido de 150 sus trabajadores (30% de la planilla) había sido decidido por un algoritmo. Xsolla, creada en rusia (2005) pero actualmente con sede en Los Ángeles USA, es una de las princip
Publicar un comentario
Leer más

La era del Capitalismo de la Vigilancia

"La era del Capitalismo de la Vigilancia", escrito por Shoshana Zuboff, representa una mirada reveladora que describe cómo el uso de datos se ha convertido en un recurso sometido a la explotación del capitalismo digital. En este video la autora explica en 4 minutos los puntos centrales de su teoría.  
Publicar un comentario
Leer más