Sanción a una empresa por implantar un registro de la jornada laboral mediante huella digital

In noviembre 2, 2021
Comments off
120 Views

La AEPD ha sancionado a una empresa con 20.000 € por crear y probar durante dos meses un registro de datos biométricos con la finalidad de registrar la jornada laboral sin haber llevado a cabo la Evaluación del Impacto en la Protección de Datos Personales (EIPD) en los supuestos en que la misma es exigible (implementación de un sistema de control presencial de los trabajadores a través de un sistema biométrico de huella digital en las dependencias de la empresa y tratando datos de categoría especial, en este caso, se trataba de un supuesto de identificación uno a varios).

En la Resolución la AEPD considera que la empresa estaba tratando datos de categoría especial, datos biométricos, aunque la empresa aseguraba que la tecnología empleada es la de verificación/autenticación biométrica y no entraría dentro de este tipo de categorías especiales de datos y, por tanto, no sería exigible realiza una EIPD.

Con anterioridad a esta Resolución, por ejemplo, en el Procedimiento PS/ N 00128 2020, la AEPD sostenía que había dos tipos de datos biométricos:

-Los de identificación biométrica, que permite identificar a un individuo mediante el proceso de comparar sus datos biométricos ( adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir un proceso de búsqueda de correspondencia uno- a- varios. En este caso, estaríamos ante datos de categorías especiales y sería obligatorio realizar una EIPD.

-Los de verificación/ autenticación biométrica: en este caso, la comparación se realiza entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir un proceso de búsqueda de correspondencias uno-a-uno). En este caso, no estaríamos ante datos de categorías especiales y, por tanto, no requeriría realizar una EIPD.

Por consiguiente, sólo en los casos de “identificación biométrica” la huella dactilar será considerada, además de dato biométrico, dato de categoría especial y, por tanto, requeriría una EIPD.

Y matizaba que , “el RGPD no parece considerar a todo tratamiento de datos biométricos como tratamiento de categorías especiales de datos, ya que el artículo 9.1. se refiere a los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, por lo que, de una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física”.

La lista de tratamiento excluidos de obligación de realizar EIPD de la AEPD, indica que “como medida de precaución en relación a preservar los derechos de los ciudadanos, se ha de considerar el concepto de “dato de carácter personal” establecido en el RGPD de una forma extensiva, es decir, se ha de considerar que se tratan de datos de carácter personal por defecto y no asumir, a priori, que no se pueda dar dicha categoría a los datos tratados”.

Por otra parte, además de la obligación de realizar la EIPD, la AEPD señala en esta Resolución, que existen medios menos intrusivos que permiten mantener este tipo de registros y que la tecnología no superaba el juicio de proporcionalidad. Se considera que pueden existir sistemas alternativos al utilizado (de hecho, en este caso, este sistema convivía con un lector de tarjeta) que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos.

No se explica por qué es necesario y preferible el sistema de identificación al de autentificación/verificación, el cual implica más riesgos para los derechos y libertades de los individuos. Para poder utilizar este sistema, de acuerdo con los parámetros establecidos en el RGPD, los responsables del tratamiento deben ser capaces de justificar desde antes del tratamiento, que el sistema utilizado es necesario, proporcionado en cada contexto específico en el que se va a implementar y acreditar que medidas técnicas menos intrusivas no existen o no funcionarían, por ejemplo, códigos, tarjetas, etc.

Por otra parte, considera la Resolución que las empresas no deberían ampararse en el consentimiento en el seno de una relación laboral pues ésta es una base legitimadora excepcional puesto que el propio consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe riesgo de engaño, intimidación, coerción o consecuencias negativas importantes (por ejemplo, costes adicionales sustanciales) si no da su consentimiento. El consentimiento no será libre en aquellos casos en los que exista un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad, lo que no siempre ocurre en la relación laboral donde hay una relación de subordinación.

El registro de la huella dactilar para el cumplimiento de la obligación de registro de jornada no es necesario para la ejecución del contrato sino en su caso lo sería para el cumplimiento de una obligación legal.

Como recomendación, antes de implantar un sistema de reconocimiento de huella dactilar, el responsable debe:

  • Realizar un análisis de la tecnología empleada en el caso concreto, para determinar la existencia o no de datos de categorías especiales.
  • Realizar un análisis de la necesidad de EIPD en donde se debe justificar la base de legitimación y superar los tres puntos del llamado juicio de proporcionalidad:
    • Juicio de idoneidad: si la medida puede conseguir el objetivo propuesto.
    • Juicio de necesidad: si, además, es necesario, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
    • Juicio de proporcionalidad en sentido estricto: si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.
  • En caso de que la tecnología permita la identificación biométrica y en caso de duda, se deberá realizar una EIPD quedebe entenderse como un proceso de mejora continua, de forma que esta se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento.

#Helas #RGPD #LOPDGDD #protecciondatos #COVID #huelladigital

 

María Martín Pardo de Vera

Responsable de Consultoría y Desarrollo de Negocio en Helas Consultores y Socia de Women in a Legal World

       

 

Comments are closed.

Suscríbete a nuestro Boletín

HELAS CONSULTORES, S.L. con NIF: B-83017780; Calle Magallanes, 24, 1º-A, C.P. 28015, Madrid como Responsable del Tratamiento tratará sus datos personales con la finalidad de gestionar la suscripción a la newsletter de la página web.
Puede ejercitar sus derechos y retirar su consentimiento mediante el envío de un mensaje de correo electrónico a info@helasconsultores.com, así como a reclamar ante la Autoridad de Control (Agencia Española de Protección de Datos: www.aepd.es).
Con el envío de sus datos personales acepta el tratamiento de dato, para más información le recomendamos que lea nuestra Política de Privacidad.
Consultoría de Protección de Datos y Servicios de Compliance
  • C/MAGALLANES 24, 1º A. 28015 MADRID
  • 91 444 00 03