La Agencia Española de Protección de Datos (en adelante “AEPD”) ha sancionado a una organización con 365.000 euros por implantar un lector de huella dactilar para el acceso a las oficinas, con la finalidad de controlar la jornada laboral de su personal empleado.
La sanción ha recaído sobre una empresa industrial que solicitó la huella dactilar a los empleados con la finalidad de implantar un sistema de fichaje basado en este dato. La persona reclamante, expone que, en el momento de tomar los datos biométricos, no se comunicó que la información en materia de protección de datos se encontraba en el portal del empleado (información ubicada en un lugar recóndito, de difícil acceso y de manera poco intuitiva).
En virtud de lo anterior, la AEPD ha emitido una resolución sancionadora, y, en ella, razona y argumenta lo siguiente:
- La parte reclamada no informó correctamente al personal empleado sobre el tratamiento de datos. La cláusula informativa a que hace referencia y que habría sido incluida en el “portal del empleado” de la empresa en octubre de 2021 adolece de importantes defectos. En concreto, la cláusula informativa se refiere a una pluralidad de tratamientos, y en ningún caso hace referencias concretas y exactas al tratamiento de datos biométricos con fines de control laboral.
- La parte reclamada no acreditó, de manera suficiente, la existencia de medidas técnicas y organizativas en relación con la seguridad del tratamiento. En concreto: (i) no acreditó cómo quedaba el borrado de la huella tras su captura; (ii) el sistema técnico estructurado entorno al tratamiento biométrico no contemplaba la segregación de bases de datos en lo que se refiere al almacenamiento de la huella.
- El documento que la parte reclamada aportó como “evaluación de impacto” (en adelante “EIPD”) adolecía de importantes defectos, debiendo descartarse su validez desde un momento inicial. Para la AEPD, el documento no tiene como base el tratamiento de datos personales de categoría especial (como son los datos biométricos). Además, la EIPD presentada por la empresa sancionada: (i) no contenía un análisis sobre las causas de levantamiento de la prohibición de tratar datos de categoría especial; (ii) no se identificaban y analizaban de manera correcta y suficiente los riesgos asociados al tratamiento; (iii) no cuenta con un verdadero análisis y juicio sobre la necesidad y proporcionalidad del tratamiento, conteniendo, únicamente, una referencia genérica sobre los motivos por los que se descartan otros sistemas.
Al margen de los argumentos anteriores, la AEPD pone de manifiesto, en línea con la Guía sobre tratamientos de datos biométricos en el ámbito laboral publicada en noviembre de 2023, la incorrecta base de licitud que la empresa sancionada emplea a la hora de estructurar el tratamiento (cumplimiento de obligación legal).
La AEPD sanciona a la empresa infractora con una multa de 365.000 euros.