La Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros al Colegio Notarial de Aragón por utilizar el sistema de huella dactilar a la hora de realizar el control de jornada. No tenía el consentimiento explícito de sus empleados ni valoraron otros métodos menos intrusivos.
En concreto, la sanción se ha interpuesto por infringir el Reglamento General de Protección de Datos (RGPD). Por un lado, el artículo 9, que hace referencia al «tratamiento de categorías especiales de datos personales». Y por otro, el 35, que habla sobre la «evaluación de impacto relativa a la protección de datos».
Sin embargo, finalmente sólo tendrán que pagar 12.000 euros tras acogerse a las dos reducciones propuestas por la AEPD. Es decir, reconocer los hechos y realizar el pago voluntario.
La cuantía fue ingresada el pasado 22 de noviembre, relata la resolución, dada a conocer a través de Jorge García Herrero, experto en la materia.
Los hechos
Y aunque la sanción se acaba de imponer, los hechos se remontan al 7 de marzo de 2023, día en el que uno de los afectados decidió reclamar al considerar que el Colegio estaba incumpliendo la normativa de protección de datos.
En la resolución, de 39 páginas, el afectado relató que el 14 de marzo de 2023 se había implementado un sistema de control de horario mediante huella dactilar que no era conforme a la normativa al no haberse efectuado una evaluación del impacto de las operaciones de tratamiento.
Asimismo, el reclamante comentó que la implantación del sistema era incorrecto, ya que no estaba basado en un sistema de almacenamiento descentralizado donde la huella dactilar recogida se incorporase a una tarjeta inteligente en poder del empleado.
La AEPD dio traslado de la reclamación a los notarios para que pudiesen dar su versión de los hechos. Éstos comentaron que, efectivamente, sí habían instalado tal sistema pero que todavía no emitía correctamente los correspondientes informes de la recogida diaria por el lector de los datos horarios de los empleados.
También relataron que sí habían llevado a cabo una evaluación de impacto de protección de datos para cumplir con la normativa y que la decisión de cambiar al método de huella era porque el anterior, a través de una hoja de forma manual, no era ni objetivo ni fiable.
Por lo que decidieron instalar un sistema «más seguro que evitara cualquier posibilidad de subjetividad y arbitrariedad de los registros anotados en aras al estricto cumplimiento de la jornada laboral de los empleados». A ello añadieron que el 22 de marzo les facilitaron información por escrito y que ninguno se opuso.
En definitiva, señalaron que el tratamiento de los datos biométricos estaba legitimado por el artículo 34.9 del Estatuto de los Trabajadores (ET).
Sobre los datos biométricos
La AEPD recordó que, de acuerdo con la definición dada por el artículo 4.14 del Reglamento General de Protección de Datos, los datos biométricos tratados se consideran datos de carácter personal. Siempre y cuando la finalidad del tratamiento sea la identificación o autenticación de una persona.
Y es que, los sistemas biométricos están estrechamente vinculados a una persona porque cada individuo tiene impresiones dactilares únicas que muestran características específicas. «Por lo tanto, son únicos, permanentes o definitivos en el tiempo, ya que permanecen invariablemente unidos a una persona».
Además, la Agencia manifestó que la normativa laboral no imponía ni autorizaba específicamente el uso de datos biométricos para el control horario. Así como que existían métodos menos intrusivos para ello. Al igual que, por otro lado, consideró que tampoco analizó de forma exhaustiva la necesidad, proporcionalidad e idoneidad del tratamiento.
Desde el Colegio Notarial de Aragón han trasladado a Confilegal que han decidido no recurrir la resolución ante la Audiencia Nacional.
Asimismo, han manifestado que «la doctrina contraria a la posibilidad de utilizar este tipo de sistema de control del horario laboral surgió con posterioridad al momento en que el colegio optó por su uso. Y a la luz de esa doctrina se ha dictado esta resolución». También han incidido en que el sistema, pese a que se instaló, nunca llegó a ser utilizado de forma efectiva como sistema de control horario del personal.
