Zabía-Abogados

Sanción de 220.000 euros a una compañía por obligar a sus empleados a fichar a través del sistema biométrico implementado en la oficina

La autoridad de control ha impuesto a la compañía una sanción de 200.000 euros por la infracción del artículo 35 del RGPD (realización de una evaluación de impacto) y de 20.000 euros por infringir el artículo 15 del mismo cuerpo normativo (derecho de acceso). 

En este supuesto, se interpuso reclamación debido a que la entidad obligaba a los empleados a fichar en la entrada del puesto de trabajo con un dispositivo de reconocimiento facial, sin que se facilitase en ningún momento otro medio distinto como alternativa. Durante la fase de alegaciones, se aportó por la entidad copia del documento en el que se recababa el consentimiento expreso de los empleados y se informaba sobre el tratamiento de sus datos personales, estando este firmado por el reclamante. En el mismo se indicaba que los datos eran tratados para gestionar la relación laboral y para el control horario y del cumplimiento de la jornada laboral “basado en la captación de la huella digital del trabajador”.

No obstante, en el documento no había referencia alguna a la legitimación del sistema para el control del cumplimiento de la jornada laboral, ni se establecía una opción para facilitar (o negar) el consentimiento a los distintos posibles tratamientos. En este sentido, la entidad alegó que el tratamiento de los datos biométricos se basaba en el cumplimiento y desarrollo de la relación laboral.

Adicionalmente, se puso de manifiesto por la entidad que el Comité de Delegado de Protección de Datos del Grupo SAICA (entidad que adquirió la compañía reclamada) recomendó a la misma, antes de recibir el traslado de la reclamación, que “de forma inmediata se sustituyera el sistema de fichajes de control laboral mediante reconocimiento facial, por emplear datos biométricos”. Así, se inició un plan de implantación de un nuevo sistema de fichajes que finalizó con la distribución de tarjetas a empleados.

Asimismo, el 29 de agosto de 2022 se remitió solicitud de ejercicio de derecho de acceso por el reclamante. Si bien este recibió una primera contestación a través de correo electrónico el 14 de septiembre de 2022 indicando que se había iniciado el trámite para atender su solicitud, no recibió ninguna nueva respuesta al ejercicio de su derecho con posterioridad. En este sentido, la compañía aportó un escrito fechado el 15 de septiembre, pero enviado en diciembre por burofax a una dirección que no era la que el reclamante hacía constar en su solicitud. Se indica que ello se efectuó de esta manera por entender que faltaba el número del piso y la puerta (no consta que se solicitase subsanación alguna por la entidad). No obstante, en esta comunicación únicamente se hacía una referencia genérica a los datos, sin hacer siquiera mención a los datos biométricos.

Respecto al tratamiento de este tipo de datos, se indica por la autoridad de control que la obligación legal del registro no deriva de obligaciones asumidas entre las partes, sino de lo dispuesto en el Estatuto de los Trabajadores. Así, si bien es cierto que el registro de jornada es una obligación legal impuesta a los empresarios, dicha obligación corresponde a la llevanza de un registro, pero no a que este deba efectuarse mediante reconocimiento facial con lectura biométrica (“la normativa no determina el mecanismo específico a utilizar para el registro de la jornada, ni prevé ninguna autorización expresa para el uso de categorías especiales de datos”). Adicionalmente, el hecho de que posteriormente se modificase el sistema (a uno a través de tarjetas), “puede ser muestra práctica de que era posible otro sistema menos intrusivo en los derechos y con menos riesgos inherentes”.

Adicionalmente, expone la AEPD que antes de desarrollar e implementar un proyecto de tratamiento de datos que pueda suponer un riesgo significativo para los derechos y libertades de las personas (como sucede en este caso), “es preciso auditar su funcionamiento, no de forma aislada sino en el marco del tratamiento concreto en que se va a emplear”, a través de una Evaluación de Impacto en la que se evalúen los riesgos existentes, así como las garantías que permiten mitigar los mismos. Ello es así, por cuanto el recurso a tecnologías que tratan datos biométricos debe hacerse respetando los principios de legalidad, necesidad, proporcionalidad y minimización de los datos. No obstante lo anterior, no se aportó la Evaluación de Impacto correspondiente. 

La compañía alegó que ello se debió a que el sistema se implementó en 2016, fecha en la que no resultaba de aplicación el RGPD. La autoridad de control ha declarado que ello “no disminuye la obligación general de los responsables de aplicar medidas para gestionar adecuadamente los riesgos para los derechos y libertades de los interesados”. En este sentido, se indica que, resultando de aplicación esta normativa, ni se realizó “un análisis previo para determinar si tenía que realizar o no una EIPD a partir de mayo de 2018, ni ha realizado una EIPD”.

En relación con el ejercicio del derecho de acceso, la única documentación aportada por la entidad es un burofax enviado en diciembre, fuera del plazo, a una dirección diferente de la indicada en la solicitud, con una referencia a datos genérica, y sin el contenido adecuado, “por lo que el envío carece de eficacia”. Así, la AEPD declara que “la respuesta al ejercicio del derecho de acceso ha de ser proactiva evaluándose adecuadamente la solicitud y respondiendo sin demora indebida”, realizando los esfuerzos necesarios para garantizar que se tramita adecuadamente.

Puede acceder a la resolución sancionadora aquí.

Share the Post:

Related Posts

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido