El pasado 26 de octubre la Agencia de Protección de Datos (AEPD) resuelve la terminación del procedimiento por pago voluntario (expediente número: PS/00050/2021, iniciado a Servicios Logísticos Martorell Siglo XXI por 20.000 euros a raíz de la implantación de un nuevo sistema de registro de jornada mediante la utilización de datos biométricos (huella dactilar).
Según consta en el expediente, fue uno de los sindicatos de la empresa quien formuló la denuncia ante la AEPD en febrero del 2020 por su oposición a la implementación de este nuevo sistema de control presencial de los trabajadores a través de huella dactilar, sistema que se conjuga con el lector de tarjeta y que los trabajadores, consideraban desproporcionado e innecesario.
La empresa fundamento su medida alegando su necesidad para evitar la suplantación y la utilización fraudulenta de las tarjetas. Asimismo, sostuvo que el sistema utilizado era de autenticación y que no se trataba categoría especial de datos. Alego el consentimiento de los interesados y la realización de EIPD, ninguno de estos hechos ha sido demostrado.
La AEPD resuelve que la huella dactilar es un dato biométrico y que el sistema utilizado es de identificación biométrica, por lo tanto, se realiza un tratamiento de datos de carácter especial (art 9. RGPD). Para más información sobre datos biométricos y categoría especial de datos puede revisar el siguiente artículo: https://grupoadaptalia.es/blog/registro-de-jornada-laboral-con-huella-dactilar-es-necesario-realizar-evaluacion-de-impacto-eipd/
La imputación de la sanción tiene fundamento en que, tratando datos de carácter personal de categoría especial, y existiendo la obligación de disponer de una Evaluación de Impacto en la Protección de los Datos Personales (EIPD), se incumplió el artículo 35 del Reglamento General de Protección de Datos (RGPD). Se hace remisión a la lista orientativa de tipos de tratamiento que requieren una evaluación de impacto relativa a la protección de datos: “En el momento de analizar tratamientos de datos será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista expuesta a continuación, …” En el caso en particular, se considera obligatoria la EIPD por cumplirse dos de los criterios de la lista; a saber:
“4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.”
La AEPD sostiene que las organizaciones deben demostrar que están cumpliendo con la norma, incluyendo medidas de documentación sobre cómo son tratados los datos, con que finalidad, hasta cuándo, y documentar los tratamientos y los procedimientos para centrar la cuestión desde un momento temprano de la construcción del sistema de tratamiento y esa es la finalidad de la EIPD, que “es un paso necesario para el tratamiento de datos, no siendo el único exigible, es un presupuesto al que se debe añadir el resto de los requisitos legales para el tratamiento, base legitimadora y respeto de los principios fundamentales del tratamiento de datos previsto en el artículo 5 del RGPD”
Al final se trata de que a la hora de implantar una nueva medida se realice un Evaluación de Impacto con el fin de minimizar los riesgos, teniendo en cuenta la proporcionalidad de la medida. En este caso, se considera que los registros de jornada a través de sistemas biométricos son muy invasivos a los derechos y libertades de los trabajadores.
La parte reclamada procedió al pago de la sanción en la cuantía de 16.000 euros, haciendo uso de la reducción prevista en la propuesta de resolución, al reconocer su culpabilidad, tal y como señala el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP). La resolución puede recurrirse.
La AEPD confirma lo que con anterioridad habíamos señalado en relación con la obligatoriedad de realizar una EIPD previa a la implementación de un sistema de registro de jornada mediante huella dactilar basado en identificación biométrica.
Desde Grupo Adaptalia, recomendamos evitar la utilización de control de acceso mediante cualquier sistema que utilice datos biométricos y optar por otros sistemas menos invasivos como podría ser: utilización de tarjetas. Existen sistemas alternativos al utilizado que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos exigidos por la normativa.
No obstante, en caso de mantener el sistema de identificación biométrica, para utilizarlo conforme acuerdo con los parámetros establecidos en el RGPD, las empresas u organizaciones necesitan realizar EIPD y demostrar altos niveles de responsabilidad proactiva y diseño por defecto de Protección de Datos desde antes del tratamiento, incluyendo el hecho de ser capaces de justificar que el sistema utilizado es necesario, proporcionado en cada contexto específico en el que se va a implementar y acreditar que medidas técnicas menos intrusivas no existen o no funcionarían.