Todo comenzó cuando un trabajador acudió el 17 de agosto de 2022 a la AEPD para poner una reclamación tras detectar que la empresa estaba sacando una fotografía de la cara de los empleados desde un dispositivo de situado en la entrada del establecimiento.

Utilizar datos biométricos para registrar la entrada de los empleados al trabajo sin evaluar el impacto es ilegal

27 / 04 / 2023 06:48

En esta noticia se habla de:

El control horario es una obligación legal para todas las empresas desde que en 2019 entró en vigor el Real Decreto de 8 de marzo de medidas urgentes de protección social y de lucha contra la precariedad laboral. Sin embargo, los jefes de las entidades mercantiles tienen que tener mucho cuidado a la hora de determinar cómo realizar esta práctica.

Y es que, en este caso, la Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros –12.000 por acogerse al pago voluntario y reconocer los hechos- a la empresa especialista en artículos de plástico reutilizables de larga duración Albero Forte Composite por utilizar la imagen de sus empleados para registrar su entrada sin evaluar su impacto.

Todo comenzó cuando un trabajador acudió el 17 de agosto de 2022 a la AEPD para poner una reclamación tras detectar que la empresa estaba sacando una fotografía de la cara de los empleados desde un dispositivo de situado en la entrada del establecimiento. Manifestó que la imagen se estaba utilizando para fichar la entrada y salida del puesto de trabajo.

El trabajador que puso la reclamación explicó que nunca había sido informado del uso de los datos biométricos. Lo único que la empresa les había hecho firmar era un consentimiento para utilizar su imagen en la página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo para la difusión y promoción de Albero Fore Composite. 

Por tanto, consideró que no se le había informado de la necesidad de captación de la biometría de la cara, ni de la empresa que capta y gestiona los datos,
tampoco sobre las características de los servidores donde está almacenada la biometría ni la finalidad del tratamiento.

La AEPD trasladó la reclamación a la empresa para que, en el plazo de un mes, diese las explicaciones pertinentes. 

Ésta explicó que la implementación del registro de jornada no precisaba el consentimiento del trabajador “siendo base suficiente de legitimación el artículo 34.9 del Estatuto de los Trabajadores”. En él se establece la obligación de las empresas de realizar dicho control con carácter individual de cada persona trabajadora. 

También manifestó que, de acuerdo con lo previsto en el artículo 6.1 c) del Reglamento Europeo 2016/76 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, única finalidad del tratamiento.

Evaluación del impacto

La entidad reclamada concluyó diciendo diciendo que, además, no estaba obligada a hacer una evaluación del impacto, ya que no se encontraba dentro de los supuestos del artículo 35 del RGPD.

La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales de un trabajador en función de las actividades de tratamiento que se llevan a cabo con los mismos.

El artículo 35 del RGPD manifiesta que el uso de las nuevas tecnologías puede suponer un alto riesgo para los derechos y libertades de las personas, por lo que la empresa, antes de comenzar el tratamiento, debe realizar una evaluación del impacto.

La evaluación debe incluir una descripción sistemática de las operaciones previstas y de los fines del tratamiento, incluyendo el interés legítimo del responsable del tratamiento, si procede. 

Y como el reconocimiento de datos biométricos es un sistema de identificación novedoso y muy intrusivo para los derechos y libertades fundamentales de las personas físicas, el RGPD establece la obligación de gestionar el riesgo.

Según ha explicado la AEPD, el tratamiento biométrico tiene algunos riesgos como, por ejemplo, la seguridad de las bases de datos, la transferencia de información personal, o, incluso, la suplantación de identidad.

Ante esta situación, han decido sancionar a la empresa por no haber realizado esa evaluación de impacto y le ha dado un plazo de 10 días para que realice dicha evaluación o, si no, que elimine ese método. La sanción puede ser recurrida ante la Audiencia Nacional.

Noticias relacionadas:

Mercedes González asegura ante la Audiencia Nacional sentirse «víctima» de Santos Cerdán

Manuel Llamas niega haber presionado a la UCO para «ponerse de perfil» en investigaciones que afectan al PSOE

Narbona niega ante Pedraz conocer las «maniobras» de Leire Díez, pero señala «indicios preocupantes»

El magistrado del «caso Leire Díez» amplía seis meses la investigación sobre la fontanera del PSOE

Leticia de la Hoz niega ante Pedraz haber cobrado del PSOE o haber intentado sobornar a Carmen Pano

La Audiencia Nacional mantiene para este martes la citación a Leticia de la Hoz en el «caso Leire Díez»

Lo último en Tribunales

RACC

El Supremo anula la reducción unilateral del teletrabajo a los empleados con discapacidad del Real Automòbil Club de Catalunya

Problemas vecinales: no se pueden pintar las líneas del parking de la comunidad al ocupar superficie común 

Un parking, sancionado con 150.000€ por negarse a dar las imágenes a un cliente después que le rayaran el coche

Leire Díez y Boye

El coronel de la Guardia Civil purgado por investigar el ‘lazo’ Puigdemont-Putin se persona contra Leire Díez

CRistóbal Montoro

Caso Equipo Económico: ocho años de instrucción, secreto del sumario prorrogado 83 veces y un informe de la UCO oculto que exculpaba al despacho

Cuatro claves para entender la reforma de la Ley de Segunda Oportunidad

Arriaga Asociados logra la exoneración máxima de una deuda con la Seguridad Social bajo la Ley de Segunda Oportunidad