La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución por la cual ha sancionado a la Diputación Provincial de Cuenca por no facilitar toda la información necesaria para tratar los datos personales que manejaban sobre las personas que accedían a sus sistemas digitales, según lo especificado en los artículos 13 y 35 del Reglamento General de Protección de Datos (RGPD).
Según la resolución, a la que ha tenido acceso Confilegal, se requerirá a la diputación que «limite temporal o definitivamente el tratamiento del sistema de control horario mediante la huella dactilar» mientras no haga una evaluación de impacto de protección de datos que «tenga en cuenta los riesgos para los derechos y libertades de los empleados», algo que no se había realizado.
La primera reclamación señalaba que se había instalado un nuevo sistema de control de fichajes y control de horario para autenticar el acceso en la intranet de la entidad basándose en la huella dactilar.
Todo sin que se difundiera información sobre la seguridad de los procedimientos y su tratamiento ni que se estableciera un medio menos invasivo.
La Diputación respondió al primer requerimiento justificando el uso de este sistema al explicar que no se almacenan las imágenes de las huellas dactilares que toma, con lo que «no existe en la misma guardada ninguna huella digital de ninguno de sus empleados públicos y, en consecuencia, no existe riesgo alguno (ni significativo, ni no significativo) para los derechos fundamentales y libertades de los mismo».
Bajo estos supuestos, arguyeron que el control de horarios implantado no se encuentra dentro de las situaciones descritas por el RGPD por las que sería necesaria la elaboración de una evaluación de impacto relativa a la protección de datos.
Así se constató que no había sido elaborado ninguna evaluación de este tipo.
Tras realizar pruebas donde se dio por probada la primera reclamación interpuesta y las alegaciones descritas, se inició el procedimiento sancionador contra la Diputación Provincial de Cuenca y se formuló la propuesta de resolución por la que se ordenó que proveyeran información adecuada y suficiente a los usuarios cuyos datos personales recababan.
De esta manera, la AEPD establece una doble infracción en los hechos probados: por un lado, una falta de información relativa al sistema de control de presencia que implica el tratamiento de los datos biométricos, que debe darse obligatoriamente a los trabajadores en este caso, y la carencia reconocida por la misma Diputación de una evaluación de impacto de protección de datos, obligatoria también por el tipo de información que se manejaba y la intención con la que se trataba.
