Protección de Datos impone una multa de 365.000 euros a CTC por pedir la huella dactilar a sus trabajadores
No les había informado adecuadamente de la recopilación de datos biométricos y no habían implementado las medidas de seguridad necesarias. Foto: Confilegal

Protección de Datos impone una multa de 365.000 euros a CTC por pedir la huella dactilar a sus trabajadores

|
03/4/2024 06:30
|
Actualizado: 02/4/2024 21:37
|

La Agencia Española de Protección de Datos (AEPD) ha impuesto a la empresa CTC Externalización una multa de 365.000 euros por solicitar la huella dactilar a los empleados para fichar.

No les había informado adecuadamente de la recopilación de datos biométricos y no habían implementado las medidas de seguridad necesarias. Tampoco contaban con un análisis de riesgos idóneo. 

Este importe corresponde a la infracción de tres artículos del Reglamento General de Protección de Datos. El 13 (200.000 euros), el 32 (65.000 euros) y por infringir el artículo 35 (100.000). 

Además, la AEPD le ha dado a la empresa un plazo de 6 meses para informar a los trabajadores de manera adecuada, establecer las medidas de seguridad pertinentes, garantizar el borrado de la huella tras su captura y elaborar una evaluación de impacto.

EL CASO, AL DETALLE

Y aunque la resolución se acaba de dar a conocer ahora, la reclamación llegó a la AEPD el 14 de febrero de 2022. 

La persona que alertó sobre los hechos manifestó que la empresa no comunicó que la información sobre los datos biométricos se encontraba en el portal del empleado. Estaba en la parte “más recóndita de la aplicación a la que no tienen acceso todos los trabajadores”. 

El trabajador que puso la reclamación aportó una serie de correos electrónicos con la empresa tras haberse implantado este fichaje en el centro de Madrid-Coslada. En dichos emails manifestó que, cuando pidió información y consentimiento sobre ello, le dijeron, para su sorpresa, que no había. 

CTC le respondió diciendo que ello estaba en el portal del empleado.

Así las cosas, la AEPD pidió explicaciones a la empresa. Ésta expuso una batería de argumentos para defenderse. Por ejemplo, manifestó que era un sistema de verificación y no de identificación; que no almacenaba la huella y que se informó del tratamiento de datos correctamente.

También explicaron que se había instalado un cartel informativo junto al aparato de fichajes sobre el tratamiento de datos. Ello con la finalidad de que fuese perfectamente visible por todos los trabajadores, así como que habían enviado un correo a todos los empleados. 

La información no era suficiente

A ello añadieron que optaron por este método de fichaje porque con las tarjetas se habían dado situaciones conflictivas al cederse a otras personas que no eran titulares de la misma.

Sin embargo en la información de protección de datos proporcionada constaba que se trataba de un sistema de autenticación, no de identificación.

En la información aportada por CTC no se acreditó como garantizó el borrado de la huella tras su captura. Además, estaban almacenados los datos identificativos del empleado y su hash de huella.

Además, para la AEPD, la empresa no informó correctamente sobre el tratamiento. “La cláusula informativa a la que hacer referencia y que habría sido incluida en el portal del empleado adolece de importantes defectos”. Por otro lado, descartó el documento presentado como evolución de impacto porque el documento partía de la base de la ausencia de tratamientos de categoría especial.

La sanción no es firme y se puede recurrir ante la Sala de lo Contencioso de la Audiencia Nacional.

Un gimnasio también fue sancionado por pedir estos datos

En febrero, la AEPD multó con 27.000 euros al gimnasio Metropolitan por pedir la huella dactilar a los usuarios para poder acceder al centro deportivo. Ha infringido tres artículos del RGPD, el 13, el 9.1 y el 6.1.

Según se desprende en la resolución, la reclamante, socia del gimnasio ubicado en Santander, decidió acudir a la AEPD porque el centro deportivo había cambiado el método de acceso a las instalaciones. Hasta mayo de 2021 tan sólo pedían la pulsera y la tarjeta identificativa, pero desde ese día, también estaban exigiendo como requisito la huella dactilar.

La clienta se negó a ello al considerar que pedir datos biométricos era excesivo. La respuesta del gimnasio fue darla de baja como socia en lugar de ofrecerla otra alternativa. De modo que decidió presentar una reclamación ante Consumo el 6 de mayo de 2021.

“En ninguna parte del contrato, o de la llamada autorización, se aludía al consentimiento para el tratamiento de los datos del registro biométrico, a su obtención” porque la huella dactilar no estaba instalada en esos momentos. 

Noticias Relacionadas:
Lo último en Tribunales