Pocas medidas de aplicabilidad retardada han tenido tanta publicidad como el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a libre circulación de éstos. El reglamento entró en vigor el 25 de mayo de 2016, pero el legislador europeo dispuso su efectiva aplicabilidad para el próximo 25 de mayo, momento en el que perderá vigencia tanto la Directiva 95/46 como las normas nacionales que la traspusieron, la LOPD en nuestro caso.

El legislador apuesta por una regulación que aborda el tratamiento de la protección de datos de manera que pueda ser directamente aplicable en los Estados miembros, dejando escaso margen a la regulación nacional. Sin embrago, al hilo de esta apreciación técnica, no podemos dejar de mencionar que sorprende que en el ámbito de las relaciones laborales el reglamento abra de forma tan amplia el margen a la regulación local de determinadas cuestiones, concediendo dicha facultad no sólo a las disposiciones legislativas de los Estados miembros si no a los convenios colectivos.

Por lo que se refiere a las novedades introducidas por el reglamento en materia laboral, se mantiene la regla general según la cual el tratamiento de datos será lícito y no requerirá consentimiento expreso del empleado si es necesario para la ejecución del contrato de trabajo, manteniendo en todo caso el deber de información al trabajador sobre el tratamiento de sus datos, que deberá ser facilitada de forma concisa, transparente, inteligible, accesible, clara y sencilla. Mención específica requiere una cuestión que introduce como novedad el reglamento. Nos referimos al control de acceso o de presencia basado en el uso de datos biométricos del empleado, esto es, aquellos datos que permitan o confirmen la identificación única de su titular, como pueden ser el reconocimiento de imágenes faciales o datos dactiloscópicos, cada vez de uso más habitual en las empresas, dada la seguridad que ofrecen al empresario y la comodidad que supone para el empleado al no depender de tarjetas u otros elementos de fácil extravío. A diferencia del régimen aplicable en la todavía vigente LOPD, el reglamento cataloga los datos biométricos como datos especialmente protegidos, exigiendo para su tratamiento un mayor nivel de diligencia y mayores obligaciones de seguridad que en la vigente norma.

No hace falta decir que el nivel de adaptación a la nueva regulación de algunas empresas tras los dos años de tregua concedidos dista todavía de ser el óptimo. Queda por ver con qué celeridad la administración impondrá las sanciones, nada desdeñables económicamente hablando, que, para los incumplimientos, la futura norma contempla.