Más razones para no usar Biométricos
De nuevo con los datos Biométricos, pues desde que el 23 de noviembre de 2023, la Agencia Española de Protección de Datos (AEPD) publicara la Guía sobre el uso de datos biométricos (ej. huella dactilar) para llevar a cabo el registro de jornada laboral o el control de accesos a instalaciones, han surgido muchas dudas alrededor del uso de los datos biométricos por parte de las empresas como venían utilizando estos datos.
El día 1 de diciembre Business Adapter® escribió sobre este asunto, con el fin dar luz a nuestros clientes y lectores, resolviendo paralelamente numerosas consultas, dadas las diferentes interpretaciones que los clientes daban a dicha Guía, detectando una lógica desilusión y hasta impotencia por las respuestas brindadas desde nuestro departamento jurídico y de consultoría.
Decimos lógicas y entendibles, pues en noviembre del 2023 la AEPD cambió de interpretación, puesto que en una publicación anterior, concretamente la Guía sobre relaciones laborales de mayo de 2021, la AEPD sustentaba la licitud para tratar datos biométricos, en los artículos 20.3 y 34.9 del Estatuto de los Trabajadores. Es decir, legitimaba a las empresas a tratar datos biométricos con una base legal muy concreta.
De nuevo, volvemos con este asunto para reconfirmar nuestro asesoramiento, tras una nueva Resolución de la AEPD (PS/00170/2023) donde la Agencia realiza un meticuloso análisis sobre los requisitos que deben cumplirse para poder llevar a cabo el tratamiento de datos biométricos, en este caso concreto, para llevar a cabo el registro de jornada laboral.
Análisis de la Resolución por uso de biométricos
El caso versa sobre una reclamación presentada ante la AEPD, por un trabajador en contra de su empresa, debido a que se le solicitó el registro de su huella dactilar para un sistema de fichaje.
Ante la denuncia del trabajador, la AEPD requiere a la empresa reclamada que aporte las alegaciones correspondientes y esta se defiende de la siguiente forma:
Sistema biométrico utilizado
El sistema implantado no es de identificación, sino de autenticación/verificación, ya que el sistema está configurado para realizar una comparación de huellas 1:N.
No hay almacenamiento de la huella, sino que se crea un código hash.
Resultado de la Evaluación de Impacto
La Evaluación de Impacto (EIPD) señala que se supera el juicio de idoneidad, necesidad y proporcionalidad debido a que no existe otro modo de realizar el registro de jornada laboral 100% fiable, ya que con el uso de tarjetas se habían observado anomalía en su uso (se prestaban a personas distintas de las titulares de las mismas) y que al no almacenar las huellas, no existía riesgo para los derechos y libertades de los empleados.
Información a las personas trabajadoras
Respecto a la información proporcionada a los empleados sobre este sistema de fichaje, se envió un correo en donde se les indicaba que existía una actualización de la Cláusula de Protección de Datos, la cual debían aceptar. En dicha cláusula la única referencia que se hacía al tratamiento del dato biométrico es la siguiente: “Está instalado un lector de huella dactilar para acceso a oficinas”.
Posicionamiento de la AEPD sobre el uso de biométricos
Tras las alegaciones presentadas por la empresa reclamada a la AEPD, esta las rebate con los argumentos siguientes:
Sistema biométrico utilizado
Respecto a que el sistema utilizado es de autenticación o de identificación, desde las Directrices 05/2022, del CEPD, sobre Tecnologías de Reconocimiento facial, se deja claro que ambos sistemas (identificación y autenticación) constituyen un tratamiento de categoría especial de datos personales, por lo tanto, el régimen establecido para los datos de categoría especial en el RGPD y LOPDGDD aplica al presente caso.
Respecto del cumplimiento de las medidas de seguridad, no se advierte que el proceso para el borrado de las huellas tras la captura de las mismas, así como la separación de los datos personales de los trabajadores y el hash de la huella.
Resultado de la Evaluación de Impacto
De manera efectiva no existe una EIPD realizada, pues el reclamado sostiene que no se estaban tratando datos de categoría especial, pues la huella dactilar no se guardaba. Entonces el documento que elaboró el reclamado no se puede aceptar ya que no tiene el análisis del tratamiento de los datos de categoría especial. Tampoco supera el triple juicio de necesidad, idoneidad y proporcionalidad.
Información a las personas trabajadoras
Respecto del cumplimiento del art. 13 RGPD, la información que se les proporcionó a los trabajadores en un inicio no cumplía con los requisitos de la norma; tanto es así, que la propia entidad, después del requerimiento de la AEPD, lo modificó y amplió incluyendo más información sobre el tratamiento de la huella dactilar, una base de legitimación diferente a la inicial (antes se basaba en la relación contractual laboral, pasando después a fundamentarse en una obligación legal), plazo de conservación (4 años) y derecho a presentar reclamación ante la autoridad de control.
La AEPD resuelve con sanción por el uso de biométricos
En la Resolución publicada por la AEPD (PS/00170/2023) se le imponen las siguientes sanciones a la empresa reclamada:
100.000€
Por no elaborar una Evaluación de Impacto real y previa al tratamiento, que determine las medidas técnicas y organizativas a implantar y que garanticen los derechos y libertades de las personas trabajadoras, incumpliendo el art. 35 del RGPD.
75.000€
Por no aplicar las medidas técnicas y organizativas necesarias, para garantizar los derechos y libertades de las personas trabajadoras, incumpliendo el art. 32 del RGPD.
200.000€
Por no aplicar los criterios fundamentales sobre la información que se debe aportar a las personas trabajadoras, incumpliendo el art. 13 del RGPD.
Y como consecuencia de todas estas circunstancias, el órgano de control sancionó a la empresa con 365.000 euros.
Business Adapter® a tu servicio
Si necesitas ayuda, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario: