El Ministerio de Defensa ha instalado en el hospital militar Gómez Ulla (Madrid) un sistema de fichaje por reconocimiento facial para los empleados del complejo sanitario. Los dispositivos ya están colocados en los pasillos cercanos a las entradas del hospital, según explican fuentes sindicales. La adjudicación del contrato se realizó el 23 de diciembre a través de un procedimiento “negociado sin publicidad” por 45.069 euros al grupo INV.
En la plataforma de contratación del Estado no están publicados los pliegos de la licitación. Tampoco hay alusión al sistema biométrico entre los documentos que sí se han subido a ese portal. El proyecto se ha consignado como un “sistema de control de accesos y presencia” en el hospital.
Representantes de Comisiones Obreras aseguran estar “escandalizadas” con este nuevo procedimiento de fichaje laboral. Según exponen, la dirección del hospital les transmitió la instalación del nuevo mecanismo de control horario cuando ya estaban colocados los dispositivos en el centro sanitario. Asimismo, indican “que ese sistema de control no existe para el personal sanitario en toda la red hospitalaria pública del territorio nacional, incluido el hospital militar de Zaragoza”.
Por su parte, desde el Ministerio de Defensa alegan que la contratación se ha realizado “en aplicación de la normativa”. Fuentes oficiales del departamento de Margarita Robles aseguran que el “sistema es doble, por reconocimiento facial o huella dactilar”. “Ante la situación por COVID-19”, continúan las fuentes consultadas, “por seguridad sanitaria de los trabajadores” prevén la utilización de “la modalidad sin contacto”, por lo tanto, mediante la identificación de su rostro.
La delegada del sindicato Amyts asegura que los profesionales “entienden que por ley se debe producir un control horario”. “Lo que no entendemos es que en este contexto de pandemia se priorice la inversión en tecnología desproporcionada, antes de reforzar los recursos humanos”, añade esta sanitaria. Además, asegura que los dispositivos se han instalado en “zonas sin ventilación”, por lo que teme que se puedan producir “aglomeraciones” en esos emplazamientos en los cambios de turno.
Hospital para personal civil
A pesar de su carácter militar y de su dependencia directa del Ministerio de Defensa, el Gómez Ulla está integrado en la red de hospitales públicos de la Comunidad de Madrid. En 2010, el Ministerio y el Gobierno autonómico firmaron un convenio para que formase parte de la estructura sanitaria regional. En ese momento, el departamento del Ejecutivo central explicó que se convertiría en el centro de referencia de los vecinos de Puerta Bonita, Los Cármenes, Los Yébenes y Nuestra Señora de Fátima. El hospital se encuentra en Madrid ciudad, en el barrio de Carabanchel.
El Reglamento General de Protección de Datos determina que los datos biométricos son aquellos relativos “a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen” su identificación. Esta información puede llegar a aportar “datos del sujeto como su raza o género (incluso de las huellas dactilares), su estado emocional, enfermedades, discapacidades y características genéticas, consumos de sustancias”, según expone la Agencia Española de Protección de Datos. “Al estar implícita, el usuario no puede impedir la recogida de dicha información suplementaria”, añade.
La abogada del gabinete jurídico de CCOO Nines Villanueva defiende que este sistema “vulnera la Constitución española en su artículo 18, el Estatuto de los trabajadores y el reglamento europeo de protección de datos y la propia ley orgánica de protección de datos española”. “¿Para qué necesita [un hospital que un profesional] haga un reconocimiento facial para acceder al puesto de trabajo?”, se plantea, para insistir posteriormente en que este control “sería justificable en empresas que trabajen con inteligencia o en una central nuclear, centros donde la seguridad de la instalación exige llevar un control exhaustivo de las personas”. Se trata de “una invasión de la intimidad” del trabajador —según esta letrada—, y por lo tanto una “vulneración” del citado artículo de la Carta Magna, porque “se ha planteado que los reconocimientos faciales pueden llegar a detectar el estado de ánimo”.
En un documento elaborado por la Agencia Española de Protección de Datos, esta institución determinaba que “en el ámbito laboral” el uso de tecnologías biométricas de reconocimiento facial “podría considerarse una medida de control por el empresario, admitida por el artículo 20 [del] ET [Estatuto de los Trabajadores] siempre y cuando sea proporcional, lo que exigiría tener en cuenta la naturaleza de la actividad y de las instalaciones para cuyo acceso se requiriese el reconocimiento facial”.
Analizar la legitimidad y proporcionalidad
Como expone Noemí Brito, abogada especialista en Derecho digital del despacho Ceca Magán, la “controversia” en este caso se centra en determinar “si es legítimo y proporcionado el uso de datos biométricos para el control laboral”. “Habría que analizar la proporcionalidad del sistema y realizar esta pregunta: ¿habría otro sistema que pueda ser menos intrusivo para llevar a cabo de alguna manera ese control?”, indica.
La Agencia Española de Protección de Datos ha insistido en que “el principio de minimización” debería primar en la instalación de estos controles: esta estrategia determina que los sistemas biométricos dirigidos a identificar de manera unívoca a cada persona física “deberían limitarse a los supuestos en que se considere realmente necesaria para que el control sea eficaz”.
Asimismo, detalla que existen alternativas que permiten “el control a través de la huella digital sin que el sistema” almacene esa información. “Por ejemplo, por su incorporación a una tarjeta inteligente que se contrastase con la huella y se mantuviera siempre en poder del trabajador”, indica esta institución.
La letrada de CCOO explica cómo funciona la alternativa propuesta por la Agencia de Protección de Datos, que requiere de un dispositivo en el que se encuentra la huella encriptada: “Se pone el dedo en el torno y la tarjeta a la vez, [de esta forma el sistema] identifica que la persona que pone el dedo es la misma que la de la tarjeta y accedes, pero la huella no se la queda el sistema”.
“Cabe plantearse que podemos realizar transacciones bancarias, firmar contratos, adquirir inmuebles, vehículos, presentarnos a exámenes de oposición y todo ello sin sistemas de reconocimiento facial que verifiquen nuestra identidad y eso que las implicaciones de esas operaciones son muy significativas para las personas que las realizan. Fijándonos en el sector bancario, por ejemplo, podemos encontrar vías por las que con múltiples factores de autenticación podemos verificar nuestra identidad para realizar transacciones”, añade Rahul Uttamchandani, abogado especializado en tecnología y privacidad de Legal Army.
La Agencia Española de Protección de Datos desmonta también dos mitos sobre el funcionamiento de estos sistemas: que sean más precisos y más seguros que otros procedimientos. En relación al primer asunto, desde la institución nacional destacan que el “reconocimiento facial en espacios públicos” y “el uso de pintura facial o máscaras antivirales provoca el aumento de la tasa de error y por tanto que la confusión sea más probable”.
Sobre la seguridad de este procedimiento, la agencia alerta de que se han producido casos en los que se ha conseguido burlar el sistema de reconocimiento facial o el control de huella. Otro de los puntos que destaca, es que si los sistemas que gestionan estos datos “sufren una brecha de seguridad, ”a diferencia de los sistemas basados en contraseñas, una vez que la información biométrica ha sido comprometida, esta no se puede cancelar“ .
Para Brito otro de los puntos que hay que analizar es si el sistema implementado en el Gómez Ulla consiste en una identificación biométrica o una verificación biométrica. El primero compara los datos del afectado “con una serie de plantillas biométricas almacenadas en una base de datos”, expone la agencia nacional. Este serviría para identificar un rostro “dentro de una multitud”. “Las autoridades o las compañías introducen tu imagen y la buscan en una base de datos. Esos sistemas ejecutan procesos de coincidencia. Ese es el que realmente conlleva grandes problemas”, apunta Carlos de las Heras, responsable de la campaña de Amnistía Internacional sobre tecnologías de reconocimiento facial. Esta ONG ha denunciado que estos sistemas “permiten a los gobiernos identificar y rastrear a personas en los espacios públicos o clasificarlas atendiendo a sus características psicológicas o de comportamiento”.
Por su parte, la verificación biométrica consiste en la comparación de los datos de un individuo “con una única plantilla biométrica almacenada en un dispositivo”. Este caso se ajustaría al sistema implementado por Defensa en el hospital Gómez Ulla. “No es tan preocupante porque requiere que las personas se registren y den su consentimiento”, indica de las Heras. Para Brito en este caso tampoco “se estarían tratando datos especialmente sensibles”. En una línea distinta se manifiesta Uttamchandani, que sí considera que “es un sistema invasivo para la privacidad de los trabajadores”, aboga por requerir “medios alternativos que suponen una intromisión menor” y que son escogidos “siguiendo el juicio de proporcionalidad y el principio de minimización del dato”.