El control horario es una obligación legal para todas las empresas desde que en 2019 entró en vigor el Real Decreto de 8 de marzo de medidas urgentes de protección social y de lucha contra la precariedad laboral. Sin embargo, los jefes de las entidades mercantiles tienen que tener mucho cuidado a la hora de determinar cómo realizar esta práctica.
Y es que, en este caso, la Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros –12.000 por acogerse al pago voluntario y reconocer los hechos- a la empresa especialista en artículos de plástico reutilizables de larga duración Albero Forte Composite por utilizar la imagen de sus empleados para registrar su entrada sin evaluar su impacto.
Todo comenzó cuando un trabajador acudió el 17 de agosto de 2022 a la AEPD para poner una reclamación tras detectar que la empresa estaba sacando una fotografía de la cara de los empleados desde un dispositivo de situado en la entrada del establecimiento. Manifestó que la imagen se estaba utilizando para fichar la entrada y salida del puesto de trabajo.
El trabajador que puso la reclamación explicó que nunca había sido informado del uso de los datos biométricos. Lo único que la empresa les había hecho firmar era un consentimiento para utilizar su imagen en la página web, redes sociales, campañas, revistas, folletos, publicidad corporativa y demás materiales de apoyo para la difusión y promoción de Albero Fore Composite.
Por tanto, consideró que no se le había informado de la necesidad de captación de la biometría de la cara, ni de la empresa que capta y gestiona los datos,
tampoco sobre las características de los servidores donde está almacenada la biometría ni la finalidad del tratamiento.
La AEPD trasladó la reclamación a la empresa para que, en el plazo de un mes, diese las explicaciones pertinentes.
Ésta explicó que la implementación del registro de jornada no precisaba el consentimiento del trabajador “siendo base suficiente de legitimación el artículo 34.9 del Estatuto de los Trabajadores”. En él se establece la obligación de las empresas de realizar dicho control con carácter individual de cada persona trabajadora.
También manifestó que, de acuerdo con lo previsto en el artículo 6.1 c) del Reglamento Europeo 2016/76 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, única finalidad del tratamiento.
Evaluación del impacto
La entidad reclamada concluyó diciendo diciendo que, además, no estaba obligada a hacer una evaluación del impacto, ya que no se encontraba dentro de los supuestos del artículo 35 del RGPD.
La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales de un trabajador en función de las actividades de tratamiento que se llevan a cabo con los mismos.
El artículo 35 del RGPD manifiesta que el uso de las nuevas tecnologías puede suponer un alto riesgo para los derechos y libertades de las personas, por lo que la empresa, antes de comenzar el tratamiento, debe realizar una evaluación del impacto.
La evaluación debe incluir una descripción sistemática de las operaciones previstas y de los fines del tratamiento, incluyendo el interés legítimo del responsable del tratamiento, si procede.
Y como el reconocimiento de datos biométricos es un sistema de identificación novedoso y muy intrusivo para los derechos y libertades fundamentales de las personas físicas, el RGPD establece la obligación de gestionar el riesgo.
Según ha explicado la AEPD, el tratamiento biométrico tiene algunos riesgos como, por ejemplo, la seguridad de las bases de datos, la transferencia de información personal, o, incluso, la suplantación de identidad.
Ante esta situación, han decido sancionar a la empresa por no haber realizado esa evaluación de impacto y le ha dado un plazo de 10 días para que realice dicha evaluación o, si no, que elimine ese método. La sanción puede ser recurrida ante la Audiencia Nacional.
