SEGUNDO: Se ejercita acción especial de tutela de derecho invocando vulneración del derecho a la intimidad y a la propia imagen.
El procedimiento de tutela tiene por finalidad otorgar una protección rápida y eficaz frente a las lesiones de los derechos fundamentales y libertades públicas que se encuentran en la denominada aréa de protección reforzada (Const art.53.2), referida a los derechos recogidos en la Const art.14 a 29.
Por otra parte, el derecho a la intimidad y la propia imagen del trabajador puede ser objeto de tutela con relación al poder de vigilancia y control del empresario (como ocurre con la colocación de sistemas de grabación o captación de imagen y sonido; o con el control sobre la utilización del correo electrónico o el uso de internet). Toda medida restrictiva debe superar un test de proporcionalidad, incluso el control sobre las herramientas de trabajo que pueden albergar contenidos íntimos o comunicaciones ( TCo 96/2012). Se vulnera el derecho a la intimidad personal cuando la penetración en el ámbito propio y reservado del sujeto no sea adecuada con la ley, no sea eficazmente consentida o, aun autorizada, trastorne los términos y el alcance para el que se otorgó el consentimiento, quebrando la conexión entre la información personal que se recaba y el objetivo tolerado para el que fue recogida ( TCo 196/2004). No obstante, no es un derecho absoluto dentro del marco de las relaciones laborales, ya que cabe aceptar límites al derecho si éstos resultan imprescindibles para el correcto y ordenado desarrollo de la actividad productiva empresarial.
Por su parte, respecto a los sistemas de control, la normativa legal no dice nada respecto de los sistemas concretos de control. Tan sólo se establece, como límite legal a las facultades empresariales, que se guarde la consideración debida a la dignidad humana y se tenga en cuenta la capacidad real de los trabajadores con discapacidad, en su caso. Por ello, salvo pacto en convenio colectivo, el empresario puede adoptar las medidas que estime más oportunas, incluso implantar un nuevo sistema de gestión de tiempos sin que ello implique una modificación funcional de carácter sustancial (TS 19-7-16).
Refiere la parte demandante que firmó un consentimiento de uso de derechos de imagen para fines promocionales o publicitarios y se le realizó una foto desde un dispositivo electrónico para tal fin. Alega que no dio consentimiento para que esa imagen fuera empleada para fichar a la entrada y salida del puesto de trabajo, que la empresa no realizó la preceptiva evaluación de impacto de datos biométricos y que existe una evidente desproporción entre la sensibilidad de la información captada y su necesidad práctica.
En efecto, los sistemas de control biométrico, como los de huella dactilar y de reconocimiento facial, requieren de una evaluación de impacto en protección de datos cuya falta puede conllevar una sanción económica por parte de la AEPD.
El artículo 6 del citado cuerpo legal prevé que: "1. El tratamiento (de datos biométricos) solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (...)".
Como ha subrayado el GT29 en diversos dictámenes, el consentimiento sólo puede ser válido si el interesado puede realmente elegir y no existe riesgo de engaño, intimidación, coerción o consecuencias negativas importantes (por ejemplo, costes adicionales sustanciales) si no da su consentimiento. El consentimiento no será libre en aquellos casos en los que exista un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad. Debe darse la posibilidad de no otorgarse el mismo, y por tanto ofrecer alternativas. Un riesgo de protección de datos que no está presente en muchos otros tipos de tratamiento de datos biométricos es el hecho de que las imágenes pueden capturarse y tratarse desde una serie de puntos de vista, condiciones ambientales y sin el conocimiento del interesado.
En el Dictamen 15/2011 sobre la definición del consentimiento, el Grupo de Trabajo destaca el hecho de que para que el consentimiento constituya una base jurídica para el tratamiento, debe ser «informado». Si el interesado no tiene conocimiento del tratamiento de imágenes a efectos del reconocimiento facial, no puede dar un consentimiento informado.
En el caso de autos, resulta de la documental aportada por la parte demandante (folio 71 de los autos) que el actor firmó hoja de "Consentimiento para la recogida y tratamiento de datos personales", que obra unida a autos y cuyo contenido se da por reproducido, con el siguiente contenidio: "(...) Autorizo a Albero Forte Composite, S.L., al uso de los derechos de imagen que podrían ser utilizados por la entidad para publicación en: .Página(s) web y redes sociales propiedad de Albero Forte Composite, S.L. Campañas, revistas, publicaciones, folletos, publicdad corporativa y demás materiales de apoyo que considere pertinente para la difusión y promoción de Albero Forte Composite, S.L. por cualquier medio ya sea impreso, electrónico o digital (...)".
Es evidente que el demandante no dio su consentimiento para que se usara su imagen como sistema de control de entrada y salida en la empresa (fichaje).
Tampoco existió evaluación de impacto en protección de datos, lo que motivó la imposición de sanción por la Agencia Española de Protección de Datos.
Si bien opone la demandada que no era preceptiva la citada evaluación por no encontrarse en ninguno de los supuestos en los que la ley lo exige, como refiere la resolución de la AEPD, acompañada con el escrito de demanda, "sin embargo, no estamos ante una lista exhaustiva, sino que ha de valorarse la complejidad del proceso de gestión de riesgo, teniendo en cuenta no el tamaño de la entidad, la disponibilidad de recursos, la especialidad o sector de esta, sino el posible impacto de la actividad de tratamiento sobre los interesados y la propia dificultad del tratamiento".
Como refiere el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, el uso de la biometría plantea la cuestión de la proporcionalidad de cada categoría de datos tratados a la luz de los fines para los que se traten los datos. Puesto que los datos biométricos solo pueden utilizarse si son adecuados, pertinentes y no excesivos, ello implica una evaluación estricta de la necesidad y la proporcionalidad de los datos tratados y de si la finalidad prevista podría alcanzarse de manera menos intrusiva. Al analizar la proporcionalidad de un sistema biométrico propuesto, es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable. Un segundo factor que debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar. Un tercer aspecto a ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado.
En nuestro caso, no consta que se ofrecieran al actor otras opciones sobre el modo de fichaje, pudiendo habérsele ofrecido la posibilidad de fichar con tarjeta, como así ocurrió con unas trabajadoras gemelas (resulta de la testifical de Dª Sacramento).
Refiere el testigo Dº Jesús Manuel, técnico de empresa proveedora del software, que el sistema implantado compara la foto con el trabajador, saca el algoritmo y lo compara, refiere que se trata de un sistema de reconocimiento facial, no biométrico.
No obstante, el artículo 4.14 del RGPD define los «datos biométricos» como: "datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos". En nuestro caso, nos hallamos ante un sistema de reconocimiento facial a partir de la imagen de una fotografía, hallándose dicho sistema incluido en el ámbito de reconocimiento biométrico.
Teniendo presente que el actor no dio su consentimiento expreso para que su imagen pudiera ser usada para fichar, que por la empresa no se le dieron otras opciones a fin de realizar el citado control y que no se realizó la obligada evaluación de impacto en protección de datos, se ha de entender vulnerado el derecho a la intimidad y propia imagen del actor, como así concluye el Ministerio Fiscal en fase de informe, por lo que prcede la estimación de la demanda.
TERCERO: Finalmente, entrando en el examen de la pretensión de condena al pago de indemnización por daños morales, interesa la parte demandante se condene a la demandada a abonar la suma de 20.000 euros.
La conducta de la empresa está tipificada en el art. 8.11 de la Ley sobre Infracciones y Sanciones en el Orden Social (LA LEY 2611/2000), que contempla como infracciones muy graves "los actos del empresario que fueren contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores". Y partiendo de ello, ha de estarse a lo dispuesto en el art. 40 de la LISOS , que regula la cuantía de las sanciones, fijando en su letra c) para las infracciones muy graves en materia de relaciones laborales una sanción de multa, en su grado mínimo de 6.251 a 25.000 euros; en su grado medio de 25.001 a 100.005 euros, y en su grado máximo de 100.006 euros a 187.515 euros.
Se ha de tener en cuenta que para la aplicación de los criterios de graduación de las sanciones ha de atenderse una serie de reglas que tienen como objetivo asegurar el cumplimiento de los principios del derecho sancionador, en especial los de proporcionalidad y equidad, reglas que son las previstas en el art. 39 de la LISOS (LA LEY 2611/2000), precepto que en su apartado 2 dispone que las sanciones se graduarán en atención a la negligencia e intencionalidad del sujeto infractor, fraude o connivencia, incumplimiento de las advertencias previas y requerimientos de la Inspección, cifra de negocios de la empresa, número de trabajadores o de beneficiarios afectados en su caso, perjuicio causado y cantidad defraudada, circunstancias que puedan agravar o atenuar la graduación a aplicar a la infracción cometida, estableciendo finalmente el apartado 6 del artículo que cuando no se considere relevante a estos efectos ninguna de las circunstancias enumeradas en los apartados anteriores la sanción se impondrá en el grado mínimo en su tramo inferior.
Resulta prudente en el presente caso fijar en 6.251 euros la suma que la empresa debe abonar al demandante en concepto de indemnización por daño moral, y ello en recta aplicación del antes mencionado apartado 6 del artículo 39, que establece una clausula o criterio de graduación de "cierre" para aquellos casos en que- como aquí ocurre- no se considere relevante ninguna de las circunstancias enumeradas en los apartados anteriores, en cuyo caso la sanción se impondría en el tramo inferior del grado mínimo".
Por lo expuesto, se condena a la empresa a abonar al actor la suma de 6.251 euros, en concepto de indemnziación por daños morales.