La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado con 220.000 euros a una empresa por vulnerar el Reglamento General de Protección de Datos (RGPD). En particular, la sanción está relacionada con el uso indebido de un sistema de reconocimiento facial para el control horario de sus empleados entre 2016 y 2022.
La sanción impuesta por la AEPD a la empresa es fruto de una reclamación presentada por una persona trabajadora que expresó su oposición al sistema de fichaje mediante reconocimiento facial. La persona trabajadora ponía de manifiesto en su reclamación que la empresa no ofrecía a su personal empleado alternativas viables para registrar su jornada laboral. Además, la persona reclamante solicitó ejercer su derecho de acceso a los datos personales recopilados, pero la empresa no proporcionó una respuesta adecuada ni en la dirección ni en los términos requeridos por el reclamante.
Durante el procedimiento, la empresa argumentó que no almacenaba imágenes faciales sino patrones biométricos (hashes), pero no pudo justificar ni documentar la proporcionalidad de dicho tratamiento, ni aportar la correspondiente Evaluación de Impacto.
Sobre la base de estos hechos, la AEPD resuelve lo siguiente:
- Base de licitud inadecuada: La AEPD argumenta en su resolución que el tratamiento de datos biométricos efectuado por la empresa con el objetivo de controlar la jornada laboral carecía de base legal adecuada. La empresa intentó justificar el uso de datos biométricos basándose en el consentimiento de las personas empleadas, pero la AEPD razona en su resolución que el consentimiento no recogía los requisitos exigidos (no era libre ni informado). Asimismo, los trabajadores no tenían una alternativa para fichar sin el uso de datos biométricos.
- Falta de Evaluación de Impacto (EIPD): la empresa alegó que el sistema se implantó en 2016, antes de la aplicación del RGPD, y que, por tanto, no era obligatorio realizar una EIPD en ese momento. Sin embargo, la AEPD explica en su resolución que el uso continuado del sistema tras la entrada en vigor del RGPD (2018) requería una actualización y adaptación a las nuevas exigencias legales, incluyendo la realización de una EIPD para justificar la proporcionalidad, necesidad e idoneidad del tratamiento.
- Falta de atención al derecho de acceso: La persona trabajadora, además de presentar la reclamación, solicitó acceder a sus datos personales, pero la empresa no cumplió con su obligación de atender esta solicitud de manera efectiva. La respuesta enviada por burofax fue remitida a una dirección incorrecta y carecía de información suficiente sobre los datos biométricos tratados.
Por todo lo anterior, la AEPD termina imponiendo a la empresa infractora una multa de 200.000 euros.
