El control de asistencia biométrico

La incorporación de la tecnología en la gestión laboral suele responder a una lógica intuitiva: si existe una herramienta que permite mayor control y eficiencia en el marco de las relaciones laborales, se adquiere y se implementa. Sin embargo, en ese impulso por optimizar, hay una pregunta que no siempre se formula: ¿realmente se puede implementar sin mayores implicancias legales?

Si uno revisa la Ley 29733, Ley de Protección de Datos Personales, y su Reglamento, aprobado mediante Decreto Supremo 16-2024-JUS, la respuesta no es restrictiva, pero tampoco flexible. La tecnología no está prohibida en las relaciones laborales, pero su uso exige respetar ciertos principios como finalidad, proporcionalidad y seguridad, entre otros, y es precisamente ahí donde surge el problema. La mayoría de las contingencias no se originan en la tecnología en sí misma, sino en la forma en que se introduce en la práctica laboral.

Un ejemplo bastante ilustrativo es el uso de sistemas biométricos para el control de asistencia —huella dactilar o reconocimiento facial—. Aunque son herramientas eficaces, implican el tratamiento de datos sensibles, lo que eleva significativamente el estándar de protección exigido por la ley.

En estos casos, suele asumirse que basta con informar al trabajador o recabar su consentimiento; sin embargo, dicho consentimiento no puede ser tácito ni meramente formal, sino que debe ser previo, expreso, inequívoco, informado y, sobre todo, libre. Si el trabajador no cuenta con alternativas —por ejemplo, el uso de tarjetas u otros mecanismos—, la validez de ese consentimiento se vuelve cuestionable, pues podría configurarse una imposición indirecta. En ese sentido, corresponde evaluar si el uso de sistemas biométricos es estrictamente necesario para la finalidad perseguida o si existen mecanismos menos intrusivos que permitan alcanzar el mismo objetivo.

La normativa exige que el tratamiento de datos personales responda a una finalidad determinada, explícita y lícita. En el ámbito laboral, ello implica que el empleador debe demostrar que los datos recolectados serán utilizados exclusivamente para el fin declarado —como el control de asistencia—, sin extenderse a usos incompatibles. Asimismo, es recomendable que esta lógica se materialice en instrumentos internos, a través de la implementación de una política de protección de datos personales, la cual permite delimitar el uso de la información, asignar responsabilidades y asegurar la trazabilidad del tratamiento.

No obstante, en la práctica suele ocurrir lo contrario. Se implementa el sistema, se comunica y se empieza a operar. El proceso aparenta orden, pero omite lo esencial: el análisis previo, la evaluación de riesgos, la previsión de alternativas y la obtención de un consentimiento válido, entre otros aspectos. Son justamente esas omisiones las que configuran las principales fuentes de contingencias.

En rigor, una implementación adecuada exige justificar el uso de la tecnología en función de una necesidad concreta, anticipar los riesgos asociados —más aún tratándose de datos sensibles— y asegurar que el trabajador comprenda, de manera efectiva, qué datos se recogen, para qué y bajo qué condiciones, a lo que se suma la obligación de adoptar medidas de seguridad reforzadas.

Así pues, no se trata de evitar la tecnología, sino de implementarla correctamente. Cuando se omiten las evaluaciones previas y las garantías mínimas, lo que parecía una solución eficiente termina generando riesgos innecesarios.