Mediante Oficio nro. SPDP-IRD-2025-0031-O (en adelante el “Oficio”), la Superintendencia de Protección de Datos Personales (en adelante la “Superintendencia”) se ha pronunciado -en respuesta a una consulta particular[1], cuyos efectos no son vinculantes para la generalidad de los responsables y encargados del tratamiento de protección de datos- sobre si el uso de la biometría[2] para el registro de la asistencia de los trabajadores por parte de los empleadores es legítimo o no (en adelante el “Tratamiento”).
El pronunciamiento tajante de la Superintendencia ha sido que este tratamiento “[n]o se considera justificado bajo ninguna base legitimadora del art. 26 ni cumple con los principios consagrados en la LOPDP”[3].
Antes de entrar al análisis, es necesario mencionar que erróneamente la Superintendencia equipara al artículo 7 de la Ley Orgánica de Protección de Datos Personales (legitimación de los tratamientos) con el artículo 26 de la misma norma al mencionar que no es posible el Tratamiento “bajo ninguna base legitimadora del art. 26”.
Sobre esto hay que ser enfáticos, pues bajo ningún concepto se puede interpretar que las “circunstancias”, como lo establece el artículo 26 de la Ley Orgánica de Protección de Datos Personales (en adelante la “LOPDP”), se equiparen a las bases legitimadoras del artículo 7 de la LOPDP[4]. El artículo 26 establece estas “circunstancias” (no bases de legitimación) en modo de excepciones para tratar datos considerados como sensibles, entre ellas, y lo que nos compete en este análisis, el consentimiento explícito[5] y el tratamiento necesario para el cumplimiento de obligaciones y el ejercicio de derechos de responsable en el ámbito del derecho laboral[6].
Si bien, como se ha mencionado anteriormente, la respuesta dada por medio del Oficio a las cuestiones planteadas por el particular no es vinculante, los responsables y encargados del tratamiento de datos personales perciben que la Superintendencia puede tener una tendencia a que el uso de esta tecnología (biometría) no podría ser usada para el control o registro de la asistencia de los trabajadores bajo ningún concepto, o que esta tecnología pueda exteriorizarse a otras finalidades, como la seguridad.
Una vez dado este preámbulo, se hará el análisis sobre el Tratamiento, con el fin de determinar la posibilidad o no del uso de la biometría.
- Análisis
El artículo 26 de la LOPDP establece que está “prohibido el tratamiento de datos personales sensibles” a menos que los tratamientos cumplan con ciertas circunstancias como el consentimiento explícito[7] y el tratamiento necesario para el cumplimiento de obligaciones y el ejercicio de derechos de responsable en el ámbito del derecho laboral[8].
- Obligación legal Es necesario iniciar este análisis con la excepción del artículo 26. b) de la LOPDP ya citado, pues no exige de más estudio que el que se le ha dado hasta el momento.
El artículo 26 de la LOPDP es básicamente una copia del artículo 9. b) del Reglamento General de Protección de Datos europeo[9], por lo que es necesario la revisión de la normativa europea, y cómo las autoridades de control han desarrollado este tema sobre el Tratamiento.
La Agencia Española de Protección de Datos ha desarrollado la “Guía sobre Tratamientos de Control de Presencia Mediante Sistemas Biométricos” (en adelante la “Guía”), en la cual establece que “el registro de jornada es un tratamiento de control presencial que se encontraría enmarcado dentro de la relación laboral, con la finalidad de controlar el desenvolvimiento de la misma”. Este tratamiento estaría legitimado por el cumplimiento de una obligación legal, ya que dentro de España se cuenta con el Real Decreto-Ley 8/2019, el cual establece que “[l]a empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora…”[10]. Para el cumplimiento de la disposición mencionada el Real Decreto Legislativo 2/2015 decreta que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador se sus obligaciones y deberes…”[11].
En este sentido, por medio de esta normativa interna, el empleador tiene la opción de poder tratar los datos personales por los medios que más le convenga -en este caso por biometría- siempre y cuando se respete los derechos y libertades de la persona, cuente con las seguridades del caso, se haga un análisis de necesidad y cumpla con los principios de la normativa.
Al no haber en Ecuador una norma expresa que permita al empleador el Tratamiento, no es posible aplicar la excepción del artículo 26. b) de LOPDP.
En el caso de que la autoridad laboral en un futuro disponga algo al respecto, los empresarios pudieren utilizar la biometría, siempre y cuando se cumplan varios factores, como por ejemplo la necesidad, medios alternativos, entre otros, cuestión que será de análisis en su momento.
- Consentimiento explícito
Por otro lado, la normativa establece que los responsables y encargados del tratamiento de datos personales podrían tratar datos personales considerados como sensibles si se cuenta con un consentimiento reforzado (consentimiento explícito) de los titulares.
De acuerdo con el Oficio, el Tratamiento tampoco sería posible, pues al otorgar el consentimiento existiría un “desequilibrio de condiciones entre las partes”. Al respecto la Guía, en igual línea establece que “en el contexto de las relaciones laborales, de forma general, se produce un desequilibrio de poder entre empleado y empleador que hace que el este consentimiento no se proporcione libremente por lo que no debe ser la base jurídica”[12].
No obstante, las Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2026/679 (en adelante las “Directrices”), cuya fundamentación se encuentra dentro del Dictamen 2/2017 sobe el tratamiento de datos en el trabajo (WP 249) menciona que:
“…esto no significa que los empleadores no puedan basarse nunca en el consentimiento como base jurídica para el tratamiento de datos. Puede haber situaciones en las que el empleador pueda demostrar que el consentimiento se ha dado libremente. Dado el desequilibrio de poder entre un empleador y los miembros de su personal, los trabajadores únicamente pueden dar su libre consentimiento en circunstancias excepcionales, cuando el hecho de que otorguen o no dicho consentimiento no tenga consecuencias adversas.” Lo subrayado nos pertenece.
En este sentido, y para demostrar que dentro de una situación en la cual existe un evidente desbalance de poder entre el empleador y el trabajador se puede realizar el Tratamiento bajo la base legitimadora del consentimiento, la Guía establece que:
“En el caso del registro de jornada, como el interesado tiene la obligación de registrar su jornada, únicamente podría considerarse la existencia de un consentimiento libre a un tratamiento adicional de datos, en este caso biométricos, si el interesado dispone de una alternativa de libre elección para cumplir con dicha obligación”[13]. Lo subrayado nos pertenece.
Al respecto, las Directrices indican que:
“El CEPD opina que no puede considerarse que el consentimiento se haya dado libremente cuando un responsable del tratamiento argumenta que existe la posibilidad de elegir, por una parte, entre su servicio, que incluye el consentimiento del uso de los datos personales con fines adicionales y por otra, un servicio equivalente ofrecido por un responsable del tratamiento diferente. En tal caso, la libertad de elección dependería de cómo actúen otros agentes del mercado y de si cada interesado considera que los servicios que ofrece el otro responsable del tratamiento son realmente equivalentes. Además, conllevaría la obligación de que los responsables del tratamiento hicieran un seguimiento del mercado a fin de garantizar la vigencia de la validez del consentimiento para sus actividades de tratamiento de datos, ya que un competidor podría alterar su servicio en una etapa posterior. Por tanto, utilizar este argumento implica que un consentimiento basado en una opción alternativa ofrecida por un tercero no cumple el RGPD, lo que significa que un prestador de servicios no puede impedir a un interesado acceder a un servicio basándose en que no ha dado su consentimiento”. Lo subrayado nos pertenece.
En este sentido, el consentimiento explícito podría ser viable para el Tratamiento, siempre y cuando se tenga en cuenta lo mencionado. Ahora bien, es posible que se diga, si la alternativa que no requiere del consentimiento es igual de válida que la tecnología biométrica, ¿por qué usar esta última? Es una cuestión válida, pues afectaría uno de los elementos para el uso de esta tecnología que sería la “necesidad”.
Independientemente de lo dicho, es necesario que la Superintendencia tome una cuestión que debe ser analizada por ella, y esto es la coyuntura. Ecuador no se asemeja ni por un instante a la realidad europea, independientemente que Ecuador hay acogido su normativa. Se debe analizar el factor seguridad en todo sentido.
- Conclusión
Respondiendo de manera directa a cada una de las preguntas realizadas a la Superintendencia por parte del privado, se indica lo siguiente:
- “¿Es procedente el tratamiento de datos biométricos para el registro de asistencia de trabajadores por parte del Empleador?
AVL: Sí, siempre y cuando cumpla con lo siguiente:
- Se dé una opción al empleado para que escoja, bajo su consentimiento, el tratamiento de sus datos por tecnología biométrica u otra opción similar que realice la misma finalidad, y la cual no sea invasiva. Como una recomendación tecnológica podría ser la adopción de tecnología moderna como la biometría RBRs (Referencias Biométricas Renovables), la cual ha sido definida en el estándar ISO/IEC 24745:2022. Este tipo de tecnología, a diferencia de la biometría tradicional, no guarda una foto del elemento biométrico (huella dactilar, rostro, etc.), sino un conjunto de datos numéricos que describen la relación entre distintos puntos característico del elemento.
- Usa la tecnología biométrica únicamente para el registro de la asistencia de los trabajadores, sin que medie tratamientos ulteriores. En este sentido, se deberá respetar el principio de minimización y protección de datos desde el diseño;
- El empleador deberá evaluar el factor “necesidad” del empleador;
- Se deberá cumplir con el derecho de información, y el principio de lealtad y lealtad; y
- Se deberá realizar una evaluación de impacto para la protección de datos.
- ¿Es necesario el consentimiento expreso para el tratamiento de esos datos biométricos para control de asistencia?
AVL: No. La normativa establece el requerimiento de un consentimiento explícito, el cual es un consentimiento reforzado (a diferencia del expreso), tanto en el modo de la aceptación por parte de los titulares como en el grado de información que se debe dar a estos, previo al tratamiento.
- ¿Sin consentimiento es procedente el tratamiento de esos datos bajo las otras circunstancias del Art. 26, de la LOPDP?”.
AVL: No. Ecuador no cuenta con una directriz con rango de ley que determine (i) el control de asistencia, y (ii) el uso de la biometría. Sin embargo, hay que tomar en cuenta que las cortes nacionales aceptan la información biométrica enfocada al control de asistencia de los trabajadores como prueba para sus resoluciones[14].
Equipo de protección de datos y privacidad
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados.
_______________________________________________________
[1] Las cuestiones planteadas a la Superintendencia de Protección de Datos Personales fueron las siguientes: “¿Es procedente el tratamiento de datos biométricos para el registro de Asistencia de trabajadores por parte del Empleador?, ¿es necesario el consentimiento expreso para el tratamiento de esos datos biométricos para control de asistencia?, ¿sin consentimiento es procedente el tratamiento de esos datos bajo las otras circunstancias del Art. 26, de la LOPDP?”.
[2] Art. 4, Ley Orgánica de Protección de Datos Personales: “Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros”.
[3] Oficio nro. SPDP-IRD-2025-0031-O, Superintendencia de Protección de Datos Personales.
[4] Art. 7, Ley Orgánica de Protección de Datos Personales:
“Art. 7.- Tratamiento legítimo de datos personas.- El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:
1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;
2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación¡ legal;
3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente ley;
4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;
5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;
6) Para proteger intereses vitales, del interesado o de otra persona natural, como su vida, salud o integridad;
7) Para tratamiento de datos personales que consten en bases de datos de acceso público; y,
8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma”.
[5] Art. 26. a), Ley Orgánica de Protección de Datos Personales: “Queda prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias: a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificándose claramente sus fines”.
[6] Art. 26. b), Ley Orgánica de Protección de Datos Personales: “El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del derecho laboral y de la seguridad y protección social”.
[7] Art. 26. a), Ley Orgánica de Protección de Datos Personales: “Queda prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias: a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificándose claramente sus fines”.
[8] Art. 26. b), Ley Orgánica de Protección de Datos Personales: “El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del derecho laboral y de la seguridad y protección social”.
[9] Art. 9. b), Reglamento General de Protección de Datos europeo (RGPD):
“1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
[10] Art. 10, Real Decreto-Ley 8/2018, de 8 de marzo.
[11] Art. 20.3, Real Decreto Legislativo 2/2015, de 23 de octubre.
[12] Agencia Española de Protección de Datos; Guía sobre el Tratamiento de Control de Presencia Mediante Sistemas Biométricos; v. noviembre de 2023 p. 19.
[13] Agencia Española de Protección de Datos; Guía sobre el Tratamiento de Control de Presencia Mediante Sistemas Biométricos; v. noviembre de 2023 p. 20.
[14] Sentencia 146-23-IS/25; Corte Constitucional:
“Por lo que se recomienda: […] al Director médico la emisión de lineamientos de control de la permanencia y asistencia de personal a los líderes de cada servicio, para el estricto cumplimiento por parte de los profesionales de la salud. Así mismo, se recomienda al responsable de la Unidad de Talento Humano el seguimiento y control de la asistencia de los servidores del Hospital, además de la presentación de informes mensuales con los reportes del reloj biométrico, que permite verificar el cumplimiento de la jornada de trabajo y de existir novedades la toma de acciones correctivas.” Lo subrayado nos pertenece.
Sentencia No. 0093-2014-SL, Sala de lo Laboral de la Corte Nacional de Justicia:
“[…] fundamentado en el hecho, de que en el considerando tercero de la sentencia pronunciada por el tribunal de instancia, se expresa, que no se ha actuado ninguna prueba de la que se desprenda o se presuma, que el accionante haya trabajado horas suplementarias, que son las que exceden de ocho horas diarias o cuarenta en la semana, en tanto que las extraordinarias le han sido canceladas al trabajador, según consta de los autos (fjs. 53 a 89; inobservando alega, que en la audiencia preliminar de conciliación, contestación a la demanda y formulación de pruebas, solicitó a su empleadora CoopMego, confiera el reporte del reloj biométrico de todo el tiempo que prestó servicios, el cual fue legalmente conferido por su empleadora, mismo que consta de fjs. 252 y 282 del cuaderno de primer nivel, y en virtud del cual debía ordenarse el pago. Siendo por tanto el punto principal a dilucidar, sí al trabajador le asiste o no el derecho a recibir el pago de horas suplementarias…” Lo subrayado nos pertenece.
Sentencia No. 1367-2013, Sala Especializada de lo Laboral de la Corte Nacional de Justicia
“es decir que de acuerdo a su criterio judicial, a través de testimonios, y subsunción debida de los hechos a la normativa legal aplicable, desvirtúa la prueba presentada por los hoy casacionistas, es decir los reportes de ingresos y salidas del señor José Siguenza Pesantez, concluyendo que el reloj biométrico al comprobarse que estuvo dañado no constituye un medio idóneo de prueba.” Lo subrayado nos pertenece.
