por | Jul 28, 2025 | Boletines | 0 Comentarios

La Superintendencia de Protección de Datos Personales, mediante el Oficio No. SPDP-IRD-2025-0108-O, se pronuncia sobre la viabilidad jurídica del uso del consentimiento explícito para el tratamiento de datos personales en el control de asistencia laboral.

Puntos Claves

Consulta.-

  1. ¿En aplicación de los artículos 7, numeral 1; 8; y 26 de la Ley Orgánica de Protección de Datos Personales[1], es jurídicamente viable el uso del consentimiento explícito como base legitimadora para el control de asistencia de los trabajadores, siempre y cuando exista un análisis de riesgo integral que contenga medidas organizativas y técnicas que permitan mitigar los riesgos; y, alternativas no invasivas que permitan tomar la decisión de optar por otro mecanismo de control de asistencia, reduciendo así la posibilidad de la existencia de un temor reverencial por parte del empleador?

 

Pronunciamiento de la SPDP.-

 

La Superintendencia de Protección de Datos Personales, mediante los Oficios No. SPDP-IRD-2025-0031-O y No. SPDP-IRD-2025-0065-O, ha manifestado que el consentimiento explícito sí puede ser utilizado como base legitimadora para el control de asistencia, siempre que se cumplan las siguientes condiciones:

  1. Se realice un test de proporcionalidad, análisis de riesgo y evaluación de impacto que no reflejen un riesgo alto ni crítico.
  2. Se adopten medidas técnicas y organizativas adecuadas para mitigar riesgos.
  3. Se garantice que el consentimiento sea verdaderamente libre, lo que implica que el trabajador pueda escoger entre alternativas viables y no invasivas para el registro de asistencia.
  4. El empleador pueda demostrar que el trabajador escogió de forma libre el tratamiento de sus datos biométricos.

El uso de mecanismos biométricos para el control de asistencia puede ser jurídicamente viable si se sustenta en un consentimiento explícito del trabajador, pero solo si se cumplen las condiciones establecidas por la Ley Orgánica de Protección de Datos Personales y la Superintendencia de Protección de Datos Personales.

[1] “Art. 7.-Tratamiento legítimo de datos personas.-El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

  • Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas; (…).

Art. 8.-Consentimiento.-Se podrán tratar y comunicar datos personales cuando se cuente con la manifestación de la voluntad del titular para hacerlo. El consentimiento será válido, cuando la manifestación de la voluntad sea:

  • Libre, es decir, cuando se encuentre exenta de vicios del consentimiento;
  • Específica, en cuanto a la determinación concreta de los medios y fines del tratamiento;
  • Informada, de modo que cumpla con el principio de transparencia y efectivice el derecho a la transparencia,
  • Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular (…).

Art. 26.-Tratamiento de datos sensibles.-Queda prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias:

  1. El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificándose claramente sus fines.
  2. El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social.
  3. El tratamiento es necesario para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento.
  4. El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente pú
  5. El tratamiento se lo realiza por orden de autoridad judicial. (…).”