La autoridad de control ha sancionado con 200.000 euros a la compañía por la infracción del artículo 13 del RGPD (información que debe facilitarse cuando los datos personales se obtienen del interesado), con 65.000 euros por vulnerar el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento) y con 100.000 por infringir el artículo 35 del Reglamento (evaluaciones de impacto).
En este caso, la compañía solicitó los datos biométricos (la huella dactilar) de la empleada (así como del resto de trabajadores) con la finalidad de implementar un sistema de fichaje. Indica la reclamante que, en el momento de recabar estos datos, no se informó adecuadamente de la finalidad del tratamiento (en este sentido, no se indicó que esta información se encontraba en el portal del empleado).
Una vez notificada la reclamación, la entidad alegó, entre otras cuestiones, que es un sistema de autenticación, pero no de identificación (por lo que no se tratan datos biométricos, tal y como afirmaba la AEPD anteriormente); que no se almacena la huella dactilar, sino que el lector genera un identificador numérico que es el que se conserva, utilizándose un sistema de cifrado para el almacenamiento (no pudiéndose reproducir la huella a partir de este) y estando el hash de la huella en una tabla diferente a la que se encuentran los datos identificativos de los empleados; que únicamente se tratan los datos necesarios para el tratamiento, sin que puedan utilizarse para otros fines o que sí se informó adecuadamente sobre el citado tratamiento, aportándose una Evaluación de Impacto a la autoridad de control. Adicionalmente, se implementaron otras medidas, como la instalación de cartelería informativa o el envío de un nuevo correo electrónico con la información sobre protección de datos actualizada.
Como resultado de las actuaciones de investigación por la autoridad de control, esta tuvo conocimiento, entre otras, de que constan hash de huellas que fueron eliminadas con anterioridad incluso “a la fecha en la que manifiestan que comenzó el tratamiento” o que hubo accesos de algunos usuarios que no constaban en los listados de empleados con privilegios de acceso.
Adicionalmente, en relación con la información facilitada a los empleados, afirma la AEPD que, con anterioridad a la notificación de la reclamación, la única información que constaba sobre este tratamiento hacía referencia a “que se está instalando un lector de huellas dactilar para acceso a oficinas”. Posteriormente, sí se remitió una cláusula más detallada sobre el tratamiento de los datos.
Una vez notificado el acuerdo de inicio de actuaciones, se presentó escrito de alegaciones por la entidad en el que manifestaba, reiterando los anteriores argumentos, que había corregido la cláusula informativa, que se habían adoptado medidas de seguridad adecuadas, que la afectada sí había sido informada adecuadamente o que la huella dactilar no se almacenaba.
La AEPD ha declarado, en primer lugar, que si bien no puede afirmarse claramente que el sistema utilizado por la entidad es de autenticación en lugar de identificación (“los lectores de huella dactilar instalados no comparan la huella del sujeto con algún documento o soporte que el mismo utilice en el momento de fichar, sino que lo que hace es comparar dicha huella, leída en el momento del fichaje, con el total de huellas previamente registradas por los trabajadores”), ello ha quedado superado desde las Directrices 5/2022 del EDPB, por cuanto en las mismas queda claro que ambas “constituyen un tratamiento de categorías especiales de datos personales”.
Asimismo, en cuanto a la información facilitada, se expone que la cláusula informativa del portal del empleado (que era un documento “muy escueto”) tenía importantes defectos, por cuanto únicamente se hacía una referencia genérica al tratamiento de la huella (no se indicaba siquiera si el sistema estaba en funcionamiento), se hacía constar que se llevaban a cabo una pluralidad de tratamientos y únicamente se recogía una base legitimadora para todas las finalidades que se indicaban en la misma (que en la versión posterior se modificó).
Respecto a las medidas de seguridad adoptadas, si bien se acepta por la AEPD los argumentos de la compañía relativos a los accesos de terceros a esta información, se declara que la parte reclamada no ha realizado un análisis adecuado de los riesgos asociados al tratamiento de los datos (sobre todo, teniendo en consideración sus características, así como la tipología de dichos datos) con esta finalidad para que las medidas de seguridad pudieran ser consideradas válidas.
En relación con la evaluación de impacto, se declara por la AEPD que, antes de realizar un tratamiento de datos basado en “esta tecnología tan intrusiva” se debe llevar a cabo un análisis del mismo, no bastando únicamente con realizar este documento, sino “que habrá que superarla para cumplir con el RGPD”, puesto que una evaluación de impacto “no es un mero documento de carácter formal que se incluya como un trámite previo a la realización del tratamiento”.
En cuanto al caso que nos ocupa, se descarta la validez del documento presentado por la entidad, por cuanto se efectúa el somero análisis sin tener en consideración que se está realizando un tratamiento de datos biométricos. Además, en dicho documento no se llevaba a cabo el triple juicio de necesidad (que, tal y como indica la AEPD no debe confundirse con utilidad, puesto que el sistema de huella dactilar puede ser útil, pero no tiene por qué ser objetivamente necesario. En este sentido, se afirma que el hecho de que un sistema previo no fuera eficaz, “no significa que no haya otros sistemas que sean eficaces sin la necesidad de realizar un tratamiento biométrico”), idoneidad (evaluándose la existencia de un vínculo directo entre el tratamiento y el objetivo perseguido) y proporcionalidad, que es necesario para considerar que una Evaluación de Impacto se ha realizado de manera adecuada.
Adicionalmente, se exige al responsable del tratamiento adoptar medidas adicionales, como informar a los empleados de las cuestiones recogidas en la normativa, aplicar las medidas de seguridad adecuadas (necesarias para evitar el acceso por personal no autorizado y garantizar que las huellas se borran tras su captura) y elaborar una evaluación de impacto que contenga los extremos previstos en el artículo 35 del RGPD, haciendo especial hincapié en los defectos señalados por la autoridad de control.
Esta resolución permite apreciar la importancia de facilitar a los titulares de los datos la información adecuada, de aplicar medidas de seguridad robustas que garanticen la protección de los datos personales, así como de, en determinados supuestos, realizar la correspondiente evaluación de impacto que incluya el contenido exigido en la normativa, analizándose el tratamiento de datos de manera correcta.
Puede acceder a la resolución sancionadora de la AEPD aquí.