Zabía-Abogados

La AEPD impone una sanción de 20.000 euros al Colegio Notarial de Aragón por utilizar el sistema de huella dactilar para el control y registro de jornada.

La autoridad de control ha impuesto al Colegio Notarial de Aragón una sanción de 10.000 euros por infringir el artículo 9 del RGPD (tratamiento de categorías especiales de datos personales) y otra sanción de 10.000 euros por vulnerar el artículo 35 del mismo cuerpo normativo (evaluación de impacto relativa a la protección de datos). No obstante, ambas sanciones han sido reducidas por cuanto la compañía ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.

El reclamante, empleado del Colegio, puso de manifiesto que se había implementado un sistema de control horario mediante el uso de huella dactilar (teniéndose que registrar todas las salidas y entradas de las oficinas) que no podía ser considerado conforme con la normativa, por cuanto no se había realizado la correspondiente evaluación de impacto. Adicionalmente, se hacía constar que este sistema no estaba “basado en un sistema de almacenamiento descentralizado donde la huella dactilar recogida se incorpore a una tarjeta inteligente en poder del empleado”.

Habiéndose dado traslado de la reclamación, el DPO de la entidad reclamada presentó escrito de alegaciones en el que se exponía, entre otras cuestiones, que en la toma de decisiones de la Junta directiva, con anterioridad a la implementación del sistema, sí se tuvo en consideración el impacto en la privacidad, puesto que sí que se había efectuado la evaluación de impacto, incluyéndose un análisis de la gestión de riesgos y ponderación de derechos, adoptándose una decisión favorable. 

Así, se hizo constar que únicamente se trataban aquellos datos necesarios para el cumplimiento de la finalidad prevista en la normativa (esto es, el control horario); que la medida era idónea, ya que el tratamiento de datos biométricos permitía cumplir con garantías las obligaciones impuestas (Real Decreto-Ley 8/2019 que regula el registro de jornada); que resultaba necesario y proporcional, habiéndose analizado otras opciones menos intrusivas que no garantizaban el mismo nivel de efectividad (por ejemplo, el uso de tarjetas o contraseñas). Respecto a las medidas de seguridad se indicaba que estas eran lo suficientemente robustas para evitar la reutilización de las plantillas biométricas almacenadas. Por último, afirmaba la parte reclamada que la base que legitimaba el tratamiento era el artículo 6.1.b) -ejecución de un contrato- y el 9.2.b) -cumplimiento de obligaciones y ejercicio de derechos específicos del responsable en el ámbito del Derecho laboral- en relación con lo dispuesto en el Estatuto de los Trabajadores y el Real Decreto-Ley 8/2019.

Adicionalmente, se expuso que el anterior sistema (que consistía en una hoja de papel en la que los empleados anotaban sus horas de entrada y salida) no era objetivo y fiable como prueba del registro horario. Por ello, una vez se tomó la decisión de implementar este sistema, se informó a los empleados (incluso por escrito, sin que ninguno de ellos hubiera ejercido derecho alguno). 

No obstante, tal y como declara el Colegio, el sistema no ha estado plenamente operativo por diversas incidencias, interfiriendo incluso con otras aplicaciones previamente instaladas. Por ello (y por el criterio actual de la AEPD sobre estos sistemas que tratan datos biométricos), el colegio tomó la decisión de retirar el lector de huella digital, destruyendo “códigos binarios utilizados como plantillas biométricas obtenidos de las huellas dactilares”, pasando a utilizar un sistema menos intrusivo consistente en un “programa de software para ordenador que permitirá al empleado fichar, mediante un código numérico, una vez que inicie sesión con el correspondiente ordenador asignado a cada empleado”.

En su resolución, la AEPD declara que las plantillas biométricas constituyen datos de carácter personal, por cuanto se asigna un identificador que permite singularizar a una persona y distinguirla frente a otras gracias al cotejo con la muestra que previamente ha sido tomada. En este sentido, estos sistemas biométricos “están estrechamente vinculados a una persona”, de modo que cuando la impresión dactilar se ve comprometida, existe un mayor impacto en los titulares de este dato. Concluye la autoridad de control que el tratamiento de datos biométricos “constituye un tratamiento de categorías especiales de datos”, por lo que su tratamiento únicamente puede realizarse cuando concurre alguna de las circunstancias previstas en el apartado segundo del artículo 9 del RGPD.

Si bien, como se ha indicado, la parte reclamada alegó que el tratamiento estaba amparado en el marco de las obligaciones laborales relativas al registro de jornada impuestas en el ET, la AEPD declara que, teniendo en consideración que dicha normativa únicamente prevé la consecución de un objetivo determinado (esto es, el control de la jornada laboral mediante su registro), pero nada estipula sobre que ello se deba hacer mediante datos biométricos, no siendo además necesario este tratamiento para lograr dicha finalidad, no se cumple con lo dispuesto en el artículo 9 del RGPD para levantar la prohibición de tratamiento.

Respecto a la realización de una evaluación de impacto (obligatoria por encontrarnos ante un tratamiento de alto riesgo), se expone por la AEPD que no basta con realizar formalmente la misma, sino que debe analizarse el contenido exigido en el RGPD, evaluando si esta se puede considerar superada (no es una obligación formal, sino material, debiendo contener un análisis exhaustivo de los riesgos, medidas, conclusiones, etc.). En relación con el documento facilitado por el Colegio, se indica que si bien este es previo, su elaboración es muy próxima a la decisión de implementación del sistema por la Junta, lo que puede llevar a plantearse “si la decisión acerca de la implantación de un sistema como el analizado ya estuviera avanzada en la fecha en la que se elaboró la EIPD”, ya que “sólo así parecería razonable que la instalación del sistema pudiera haberse realizado de forma prácticamente inmediata tras la toma de la decisión”. Sobre su contenido, la APED declara:

  • Idoneidad: En este sentido, se expone que el sistema no era idóneo para el cumplimiento de la finalidad, puesto que desde el principio existieron fallos y se produjeron interferencias con otras aplicaciones que ya estaban en funcionamiento, lo que podía haber sido detectado antes de instalarlo. 
  • Necesidad: La necesidad no debe confundirse con utilidad, no pudiendo articularse un tratamiento de datos biométricos por los puros intereses de determinados afectados (más sencillez, facilidad, etc.).
  • Proporcionalidad: Habida cuenta de que el sistema biométrico se instaló cuatro años después de que el Real Decreto-Ley 8/2018 modificara el Estatuto de los Trabajadores a efectos de regular el registro de jornada, se declara por la AEPD que el Colegio “hasta ese momento, consideró adecuado el sistema hasta entonces implantado”. Asimismo, este sistema no se debe considerar proporcional si, con posterioridad, ha implementado otro (fichaje en el ordenador) que cumple con la misma eficacia el mismo objetivo.

Para la cuantificación de ambas sanciones, se ha tenido en consideración que no se han valorado adecuadamente los riesgos, así como el hecho de que, a pesar de que el funcionamiento del sistema había sido en todo momento deficiente, este había permanecido en vigor.

Puede acceder a la resolución sancionadora de la autoridad de control aquí.

Share the Post:

Related Posts

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido