Cuestiones jurídicas sobre las fotos en el carné de empleado

Nota: Este artículo se refiere al GDPR con aplicación en la UE.

¿Puede una empresa solicitar una foto para la tarjeta de identificación del empleado?

Sí, para todo lo que sea necesario para llevar a cabo la relación laboral o para garantizar la seguridad, no se requiere consentimiento en virtud GDPR. La ley de protección de datos permite incluir una foto en el documento de identidad si es necesario, por ejemplo, para la seguridad y la identificación en la empresa.

La base jurídica se fundamenta en:

• Art. 6 apdo. 1 lit. f GDPR: "Interés legítimo" - por ejemplo, seguridad, control de acceso, prevención del fraude
• Posiblemente Art. 6 párrafo 1 lit. b GDPR: "Cumplimiento de contrato" - por ejemplo, identificación en la relación laboral.

¿Necesito consentimiento para hacer la foto?

No. El consentimiento no es necesario para una foto en la tarjeta de identificación del empleado; la base jurídica es el interés legítimo o el cumplimiento del contrato. El consentimiento sería superfluo e incluso peligroso en este caso porque el empleado podría teóricamente revocarlo y el proceso se volvería jurídicamente inestable. El consentimiento no sería realmente voluntario en la relación laboral, pero el GDPR exige que el consentimiento se dé voluntariamente.

Sin embargo, para fines adicionales como la foto de perfil de Internet, la foto de Microsoft Teams, para el sitio web o material de marketing, se requiere un consentimiento documentado por separado, explícito y voluntario. Lo mejor es que los propios empleados puedan subir la foto a estos canales. Photo Collect puede enviar una copia a cada empleado por correo electrónico para su propio uso.

¿Es necesario el consentimiento para el tratamiento con Photo Collect?

No. El uso de Photo Collect no modifica la base jurídica del consentimiento (véase más arriba).

¿Debe ofrecerse un tratamiento alternativo sin Photo Collect ?

No. Si Photo Collect es el proveedor de servicios y procesador seleccionado, la empresa podrá gestionar todo el proceso fotográfico de forma centralizada a través de Photo Collect .

Ni el artículo 6 (base jurídica) ni el artículo 13 (obligaciones de información) ni el artículo 28 (tramitación de pedidos) exigen que los empleados puedan elegir cómo se procesan sus datos o qué sistema se utiliza para ello.

Mientras el tratamiento sea legal, específico, respetuoso con la protección de datos y transparente, no existe obligación legal de proporcionar otros programas o métodos de tratamiento.

¿Cómo debe informarse a los empleados sobre el tratamiento de datos?

El artículo 13 GDPR regula las obligaciones de información que tiene una empresa respecto a los empleados en cuanto se procesan datos personales, es decir, aunque no se requiera su consentimiento. Esto significa que incluso si la foto para la tarjeta de identificación del empleado se procesa sobre la base del interés legítimo o el cumplimiento del contrato, el empresario debe informar a los empleados de forma transparente sobre lo que ocurre con la foto.

Por ejemplo:

Como parte de su relación laboral, necesitamos una foto suya para crear una tarjeta de identificación de empleado personalizada y permitir el control de acceso en la empresa. La base jurídica para ello es el artículo 6, apartado 1, letra b) GDPR (ejecución de la relación laboral) y el artículo 6, apartado 1, letra f) GDPR (interés legítimo en la seguridad del acceso).

Su foto se captura y procesa mediante el softwarePhoto Collect", operado por Visible Solutions AG, Zurich. Photo Collect procesa los datos exclusivamente siguiendo nuestras instrucciones documentadas y con el único fin de tomar, comprobar y procesar técnicamente su foto. Los datos se almacenan en un centro de datos con certificación ISO 27001 en Suiza, se procesan de forma seudónima y se eliminan automáticamente tras su exportación correcta. Los metadatos se eliminan a más tardar a los 90 días. En nuestro contrato de tramitación de pedidos se documentan otras medidas técnicas y organizativas, así como los subprocesadores.

Tiene derecho a la información, rectificación y supresión de sus datos, a menos que sigan siendo necesarios para la creación o utilización de la tarjeta de identificación de empleado. Encontrará más información en nuestra política general de privacidad para empleados.

¿Tienen los empleados que utilizar su smartphone privado?

La obligación de utilizar dispositivos privados (BYOD) es problemática según la legislación laboral, al menos en Alemania y Suiza (la legislación laboral puede diferir en otros países). El empresario no puede exigir que un empleado utilice su dispositivo privado para fines laborales (Alemania, según el artículo 106 de la GewO; Suiza, según el artículo 327, apartado 1 de la OR). Por tanto, debe existir una alternativa. Las alternativas típicas son el quiosco de fotos de la recepción o la captura de fotos a través de una app en la taquilla.

Además de la carga a través del smartphone (BYOD o smartphone de la empresa), Photo Collect ofrece otros canales que pueden utilizarse en paralelo, por lo que no hay obligación de BYOD:

• Quiosco fotográfico de autoservicio en el establecimiento
• Aplicación Photo Collect para empleados de RRHH, recepción, taquilla
• Integración de API en intranet o portales de empleados
• Control directo de la cámara web

Al hacerlo, cumple la obligación que le impone la legislación laboral de ofrecer una alternativa razonable.

¿Cuánto tiempo se pueden guardar las fotos?

El GDPR se aplica a las fotos: tan cortas como sea posible, tan largas como sea necesario. Es importante mantener separadas la parte de Photo Collect como responsable del tratamiento de datos y la parte de la empresa como responsable del tratamiento de datos:

Photo Collect no es deliberadamente un lugar de almacenamiento a largo plazo, sino una herramienta de procesamiento: Una vez procesadas, las imágenes se transfieren rápidamente al sistema del cliente. Photo Collect se adhiere a los plazos documentados en el contrato de procesamiento de pedidos - como la eliminación inmediata de las fotos después de la exportación exitosa y la eliminación automática de los metadatos después de 90 días (o configurado individualmente para cada cliente).

El cliente, como responsable del tratamiento de los datos, determina los plazos de supresión internos de la empresa. Algunas empresas no almacenan las fotos de los empleados de forma permanente, sino que las eliminan inmediatamente después de imprimir la tarjeta. Esto es responsabilidad del cliente. Las fotos deben borrarse como muy tarde cuando los empleados dejan la empresa.

¿Son las fotos datos biométricos con arreglo al artículo 9 GDPR?

La cuestión de si las fotos cuentan como datos biométricos en el contexto de Photo Collect suele generar incertidumbre. Es cierto que una persona suele ser identificable en una foto. Sin embargo, esta identificabilidad por sí sola no convierte una foto en datos biométricos en el sentido del artículo 9 GDPR. El factor decisivo es si la imagen se procesa de tal manera que se identifique o autentique claramente a una persona sobre la base de sus características biométricas. Aquí es precisamente donde entra en juego la distinción jurídica: Una foto de retrato normal que simplemente se almacena o se procesa técnicamente no entra automáticamente en el ámbito de aplicación de las normas más estrictas para los datos biométricos.

En Photo Collect , el rostro no se utiliza para la identificación ni para la comparación con otras bases de datos. El software sólo realiza análisis funcionales para preparar técnicamente la foto para el fin previsto, por ejemplo para centrar a la persona dentro de la imagen, comprobar la calidad o eliminar el fondo. Estos pasos de procesamiento sirven exclusivamente para optimizar la imagen y no para determinar o verificar la identidad de una persona. La comprobación de que la persona es el empleado correcto se realiza fuera del sistema y es responsabilidad de la empresa.

Esto también se aplica si las direcciones de correo electrónico suministradas con los registros de datos permiten sacar conclusiones sobre nombres reales. El tratamiento de fotos con Photo Collect sigue siendo un tratamiento normal de datos personales, pero no el tratamiento de datos biométricos de conformidad con el artículo 9 GDPR.

¿Qué métodos de IA para el tratamiento de fotos están permitidos?

El procesamiento con IA tiene que ver con qué métodos de IA se utilizan: ¿La persona de la imagen se regenera sintéticamente (GenAI), se identifica biométricamente o simplemente se utiliza la IA para analizar la postura de la cabeza, eliminar el fondo y centrar el rostro? Esta distinción es crucial porque se aplican diferentes requisitos de protección de datos según el método utilizado. Y según los procedimientos GenAI, la imagen ya no debe utilizarse en ámbitos relevantes para la seguridad, como las tarjetas de identificación de los empleados.

Descubra qué mejoras basadas en IA están permitidas, dónde están los límites y cómo las empresas pueden clasificar correctamente los requisitos legales en el artículo Mejoras de imagen con IA: ¿qué está permitido?

¿Se pueden utilizar nombres reales para dirigirse a las personas?

Un principio central del GDPR es la minimización de los datos: las empresas solo deben recoger y procesar los datos que sean absolutamente necesarios para el fin respectivo. Sin embargo, el nombre real de la persona en cuestión no es necesario para la recogida y el tratamiento de una fotografía, ya sea para una tarjeta de identificación de empleado o para procesos de identificación relacionados con la seguridad. Photo Collect sigue sistemáticamente este principio y, por lo tanto, se abstiene deliberadamente de importar nombres en el sistema o de utilizarlos en las invitaciones de carga. En su lugar, la asignación se realiza exclusivamente a través de identificadores técnicos como números de empleado o de cliente, complementados por la dirección de contacto correspondiente (correo electrónico o número de teléfono), que es necesaria para enviar la invitación.

Conclusión: el tratamiento fotográfico debe ser profesional

Las fotos de la tarjeta de identificación de los empleados parecen triviales, pero suponen un reto desde el punto de vista de la ley de protección de datos. Las empresas deben:

• Informar con transparencia
• Evite las obligaciones BYOD
• Gestión limpia de las autorizaciones
• Cumplir estrictamente los plazos de supresión
• Documentar una asignación clara
• Garantizar medidas técnicas y organizativas

Photo Collect cumple estos requisitos. Esto proporciona a las empresas un proceso claramente estructurado y respetuoso con la protección de datos que simplifica significativamente toda la gestión de las fotos de los empleados. El proceso fotográfico no sólo es más eficiente, sino también técnica y jurídicamente seguro.