La reclamación se interpuso ante la AEPD por parte de una empleada debido a que se habían instalado en la puerta de acceso a la empresa, así como en las puertas de los vestuarios, lavabos y comedor, diversos ficheros que controlaban el acceso a dichas instalaciones mediante huella digital. Asimismo, constaban instaladas diversas cámaras de seguridad a la entrada de los lavabos.
La compañía indicó que los sistemas de acceso tenían como finalidad el control horario (respecto del fichero colocado a la entrada de la entidad), así como garantizar la seguridad de sus instalaciones, para que sólo accedieran a las mismas los empleados autorizados (respecto de los sistemas ubicados a la entrada de los vestuarios).
La autoridad de control destacó en su resolución el carácter restrictivo del tratamiento de datos biométricos, puesto que el mismo está prohibido con carácter general, pudiéndose llevar a cabo sólo cuando concurran las excepciones recogidas en la normativa vigente. De este modo, para poder utilizar este tipo de sistemas, los responsables deben garantizar altos niveles de responsabilidad proactiva y diseño por defecto incluso antes del tratamiento, pudiendo ser capaces de justificar que hay causas que permiten levantar la prohibición del tratamiento (que, en este caso, se fundamentaría en razones de seguridad en los accesos a los vestuarios). No obstante, esta finalidad de seguridad no constaba ni en su Registro de Actividades del Tratamiento, ni en el contrato de encargado del tratamiento con la entidad que gestionaba este sistema.
En relación con el triple juicio de proporcionalidad que la autoridad de control declara que se debe llevar a cabo, por cuanto nos encontramos ante sistemas novedosos y muy intrusivos para las personas, se pone de manifiesto que el tratamiento no supera el mismo. Respecto a la idoneidad de la medida, se declara que no se acredita el problema de seguridad alegado (relativo a que visitas al centro pudieran hacer uso de los vestuarios y lavabos) para instalar esta medida, existiendo adicionalmente cámaras que captan esos accesos y que permiten reconocer las personas que acceden a los mismos. En relación con la necesidad del tratamiento (que no debe confundirse con su utilidad), se indica por la AEPD que no se ha motivado por qué el acceso a instalaciones internas se debe controlar mediante datos biométricos (que son considerados de especial categoría), sobre todo si se tiene en consideración que esta restricción se puede llevar a cabo por otros medios, no siendo los vestuarios un área de especial seguridad que requiera la identificación de los empleados a través de la huella digital. Adicionalmente, se pone de manifiesto que el sistema de fichaje no es la única herramienta que puede lograr la misma finalidad (esto es, que terceros ajenos no accedan a estas instalaciones), por cuanto existían alternativas, no cumpliéndose el triple juicio de proporcionalidad de la medida, imponiéndose una sanción de 20.000 euros.
Contra dicha resolución, se interpuso recurso contencioso-administrativo ante la Audiencia Nacional. La Audiencia Nacional, compartiendo el criterio de la autoridad de control, ha declarado que la medida no era proporcionada al fin previsto, puesto que no existe justificación alguna, ni se evidencia una necesidad objetiva que permita entender que nos encontramos ante una de las excepciones del RGPD que permiten levantar la prohibición del tratamiento de los datos biométricos. Así, se indica que “en nada se resentiría la limitación del uso de ese espacio interior «privado» […] el haber arbitrado mecanismos menos gravosos y menos intrusivos para los trabajadores, evitando o minimizando el riesgo a sus derechos y libertades”.
