La Agencia española de Protección de datos ha multado a una empresa de Martorell con una sanción económica de 20.000€ por implementar el sistema de registro horario de huella dactilar sin tener en cuenta a la normativa vigente de protección de datos.
Multa de 20.000 euros por implantar indebidamente el registro horario con huella dactilar
¿Qué ha pasado?
Durante 2017, con la idea de sustituir el sistema de registro mediante tarjeta, la empresa instaló cinco terminales de huella en cada área de trabajo del centro. Al ser una empresa dedicada al montaje de piezas de vehículos automóviles con más de 520 trabajadores; justificó dicho cambio comunicando que era necesario para evitar el problema de abandono del puesto de trabajo, facilitar el procedimiento de fichaje, evitar aglomeraciones y evitar los casos que se habían dado de darse la tarjeta entre empleados para fichar por el titular.
Dicha medida fue reclamada ante la Agencia española de Protección de datos por la sección sindical, ya que la consideraron que era desproporcionada, innecesaria, que sólo buscaba el control y con ausencia de consentimiento.
¿Cómo lo justifica la empresa?
La empresa, a parte de justificar la necesidad de la medida, comunica que la recogida de huellas e implantación del sistema se informó a cada trabajador. También manifiesta que no se almacenan imágenes de las huellas, ya que la plantilla de huella no permite la identificación biométrica, solo la verificación biométrica; es decir la plantilla de la huella se asocia con el ID de cada empleado, pero no se registra la imagen de la huella con una persona directamente. Descubre en nuestro blog, la actualización de noviembre de 2023, la guía del control de presencia mediante sistemas biométricos.
También aporta un análisis de riesgos básicos que se realizó con anterioridad a la modificación; en el que se concluye que la medida es de riesgo escaso, ya que cuando un empleado pone su dedo en el lector de la fichadora, el propio dispositivo verifica que se corresponde a la plantilla de la huella que se encuentra almacenada en el dispositivo.
¿Qué dice la Agencia española de Protección de datos?
En primer lugar, la agencia considera que, aunque no se guarde enteramente la imagen de la huella, sino unas coordenadas; cada una de ellas en la forma de plantilla, es capaz de identificar unívocamente a cada empleado.
También considera que se ha quebrantado la prohibición de partida del tratamiento de los datos biométricos. Dado que el tratamiento ha de ser necesario para el cumplimento de las obligaciones legales; considerando que los mismos efectos de cumplimiento se satisfacían antes del sistema de huella con el uso de las tarjetas. Pero no se tuvieron en cuenta el tipo de datos intrusivo que se utilizan, ni los riesgos ni las garantías de los mismos.
Tampoco se justifica el principio de proporcionalidad, necesidad y minimización en el tratamiento de los datos. En el presente caso no se ha demostrado el alto nivel de responsabilidad proactiva y privacidad desde el diseño, así como acreditar que medidas técnicas menos intrusivas no existen o no funcionarían.
Por otra parte, no se trató correctamente el consentimiento expreso de los trabajadores, ya que el consentimiento solo puede ser válido si el interesado puede realmente elegir si darlo o no; y no existe riesgo de engaño, intimidación o coerción. En el presente caso no se dio la posibilidad de no otorgarse el mismo ni se ofrecieron alternativas. Por tanto, el consentimiento no fue libre y el trabajador vio incapacitado su derecho para ejercer la libre voluntad.
Decisió final de la Agencia española de Protección de datos
Finalmente, la AEPD ha considerado que no se hizo una correcta Evaluación de Impacto en la Protección de los Datos Personales (EIPD); donde se reflejara la toma de responsabilidad de la empresa con los datos personales. En ella, la empresa debe demostrar que cumple con la normativa de Protección de Datos; incluyendo medidas de documentación sobre: cómo son tratados los datos, con qué finalidad, hasta cuando, etc. Así pues, una correcto EIPD es necesaria para el tratamiento de datos.
La sanción
La determinación de la sanción por parte de la AEPD asciende a 20.000€. Para la valoración de la sanción la Agencia contempló la naturaleza, gravedad y duración de la infracción. Teniendo en cuenta la naturaleza, alcance o el propósito de la operación de tratamiento que afecta a toda la plantilla, con más de 500 trabajadores. El uso del sistema no llegó a los dos meses.
También se incluyó la falta de diligencia; dado que la empresa preparó con tiempo la implantación del sistema y no previó el impacto del sistema implantado.
Finalmente considera que concurre el atenuante de la actividad; ya que su actividad es del sector logístico y no con la realización de tratamiento de datos personales.
Como conclusión, comentar que, aunque el uso de las tecnologías puede ser útil en diversas ocasiones, también plantea importantes retos en materia de privacidad y protección de datos Es. Por eso que es importante estar bien asesorado por expertos en la materia, como el personal de Tarinas.
Si necesitas ayuda en materia de protección de datos no dudes en consultarnos.
Déjanos tu mensaje y nos pondremos en contacto contigo lo antes posible
Contacto
También puedes contactar con nosotros por teléfono, email y redes sociales.