AEPD Expediente PS/00050/2021
La empresa, viene utilizando terminales de huella en cada área de trabajo del centro con la misma finalidad de controlar la jornada. La empresa acredita haber consultado a la representación sindical, antes del uso del sistema de huella dactilar e individualmente a los empleados, si bien no aporta la cláusula informativa que incluya la recogida de un consentimiento expreso. También dispone del documento de análisis de riesgos de actividades de tratamiento, en el que figura que la actividad es de “escaso riesgo”, y se indica que no es preciso realizar una evaluación de impacto en protección de datos (EIPD).
En este caso, el sistema de huella dactilar utilizado funciona de tal forma que la comparación no se produce una contra una, la del empleado que accede con la suya, sino con todas las que están almacenadas, realizando una función de comparación uno a varios cada vez que se entra o sale. Aunque no se guarde enteramente la imagen de la huella, sino unas coordenadas, cada una de ellas en la forma de plantilla, es capaz de identificar unívocamente a cada empleado al confrontar en el terminal la toma de la huella con el resto de las existentes.
La AEPD considera estos sistemas muy intrusivos para los derechos y libertades fundamentales de las personas físicas. Además, afirma que existen sistemas alternativos que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos. El tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física está prohibido con carácter general (RGPD art.9.1), por lo que entiende que cualquier excepción a dicha prohibición debe ser objeto de interpretación restrictiva.
En el ámbito laboral, estima que el tratamiento de datos biométricos que identifiquen de manera univoca a las personas no es necesario para cumplir con la obligación de registrar la jornada laboral, pues se puede hacer de forma menos intrusiva con el uso de tarjetas.
En este caso, la AEPD considera que se están tratando datos personales de categoría especial, por lo que la falta de evaluación de impacto en la protección de los datos personales (EIPD) supone un incumplimiento del RGPD art.35. Por ello, sanciona a la empresa con una multa de 20.000 euros (16.000 euros con pago voluntario).
