La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 20.000 euros a una entidad. Sanción por llevar a cabo registros biométricos para las jornadas laborales.
El contenido de la resolución por infracción a lo dispuesto en el artículo 35 del RGPD, de conformidad con el artículo 83.4 a) es el siguiente:
ANTECEDENTES
- Con fecha 06/02/2020 se interpone una reclamación ante la AEPD por los siguientes motivos:
- Oposición a un sistema de control presencial de los trabajadores a través de un sistema de huella digital por parte de la entidad XXX
- La reclamante manifiesta lo siguiente:
- Que el sistema es desproporcionado ya que las dependencias donde se desarrolla el trabajo y pertenecientes a la entidad YYY ya dispone de un sistema de control de acceso, visitas y presencia laboral;
- Que el sistema es innecesario por la existencia de otros medios menos invasivos;
- Se pretende igualmente con la implementación del sistema, el control de la producción al haber instalado los lectores en las áreas de trabajo;
- Ausencia del consentimiento: la empresa obliga a los trabajadores a firmar un documento de consentimiento para el tratamiento de sus datos por lo que no es una manifestación de voluntad libre.
- Con fecha 26/03/2020 se traslada la reclamación a la entidad XXX que manifiesta lo siguiente:
- Al estar ubicada la empresa dentro de las instalaciones de la entidad YYY, los trabajadores, para acceder, tienen que pasar por el control de acceso a fabrica que su titular tiene implantado. Desde este punto, hasta la ubicación de la empresa XXX, hay un trayecto andando de unos veinte minutos.
- La medida se ejecuta con varias premisas: para evitar la problemática de que el personal abandone su puesto de trabajo antes de la hora; facilitar el proceso de fichaje evitando aglomeraciones en puntos de fichado, pasando de dos a cinco; la huella supera a la tarjeta pues evita casos que se han dado de dar la tarjeta
entre empleados para fichar por el titular. - El 13/11/2017 se convocó al Comité de Empresa y se le presentó el proyecto. Dicho comité se opuso al considerarla desproporcionada y se trasladó la queja a la Inspección de Trabajo. El 14/01/2019 se archivó la queja por no acreditarse infracción.
- Manifiesta que se informó a cada trabajador de la recogida de huellas e implantación del sistema.
- Aportan un esquema gráfico del funcionamiento del proceso del tratamiento de la huella dactilar.
- Manifiesta que ningún empleado ha ejercido ningún derecho sobre sus datos.
- Aporta copia del análisis de riesgos en el que se ha obtenido una actividad de «escaso riesgo».
- Evaluaron la necesidad de realizar una EIPD cuyo resultado dio negativo.
- La AEPD acordó admitir a trámite la reclamación presentada.
- Con fecha 23/11/2020 se solicitó a la entidad XXX información sobre el registro biométrico, a la cual aportó lo que consideró necesario.
- Con fecha 19/02/2021 la Directora de la AEPD acordó iniciar procedimiento Sancionador a la entidad XXX por supuesta infracción del artículo 35 del RGPD de conformidad con el artículo 83.4 a) del RGPD.
- La entidad XXX efectúa alegaciones.
HECHOS PROBADOS de Registros Biométricos de Jornadas Laborales: sanción de 20.000 euros
Primero: La entidad XXX dedica su actividad al transporte de ensamblado y montaje de piezas de automóviles, siendo la empresa YYY para la que prestan servicios como único cliente con unos 520 trabajadores. Las dependencias de la empresa se encuentran ubicadas dentro del recinto de su cliente, YYY.
Segundo: Históricamente existían dos terminales de control de presencia mediante tarjeta. Durante 2017, para sustituir estos terminales de tarjeta se instalan cinco terminales de huella en
cada área de trabajo del centro, con las mismas finalidades.
Tercero: La reclamada acredita haber consultado a la representación sindical el 13/11/2017, antes del uso del sistema de huela dactilar e individualmente a los empleados.
Cuarto: Los motivos por los que la reclamada prefiere el uso de la huella sobre la tarjeta, son que evita casos que se han dado de dar la tarjeta entre empleados para fichar por el titular, y que se produce una identificación inequívoca del empleado.
Quinto: La finalidad del registro de huella dactilar es el control horario o de jornadas laborales, de conformidad con el artículo 34.9 del Estatuto de los Trabajadores.
Sexto: El sistema de recogida y registro de la huella de los empleados y su uso se divide en dos fases: 1 Registro de datos, 2 Operación de registro de presencia.
Séptimo: Aporta el documento de análisis de riesgos figurando el resultado de la actividad de «escaso riesgo».
Octavo: La entidad XXX modificó el análisis de riesgos de las actividades del tratamiento, y el registro de actividad de tratamiento para convenir que se precisa EIPD.
FUNDAMENTOS DE DERECHOS
Los datos biométricos son datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Los datos biométricos presentan la particularidad de ser producidos por el propio cuerpo y lo caracterizan definitivamente.
En primer termino se ha de acreditar la necesidad del tratamiento de datos a través del registro de huellas y proporcionalidad para el cumplimiento de la obligación legal del registro de jornada.
Se considera que pueden existir sistemas alternativos al utilizado que cumplen con los principios de proporcionalidad, necesidad y minimización en el tratamiento de datos.
Para poder utilizar este sistema, se necesita demostrar altos niveles de responsabilidad proactiva y diseño por defecto de Protección de Datos.
Se debe justificar que el sistema utilizado es necesario, proporcionado y acreditar que medidas técnicas menos intrusivas no existen o no funcionarían.
Antes de implantar un sistema de reconocimiento de huella dactilar, el responsable debe de valorar si hay otro sistema menos intrusivo.
En este caso la entidad XXX indica que la base legitimadora del tratamiento sería la del consentimiento expreso.
No se ha aportado la clausula informativa de la recogida de dicho consentimiento expreso. Añade que existen otras dos, el cumplimiento de una obligación legal y mantenimiento del cumplimiento de la relación contractual.
El registro de la huella dactilar para el cumplimiento de la obligación de registro de jornada no es necesario para la ejecución del contrato. En todo caso lo sería para el cumplimiento de una obligación legal .
La EIPD es un paso necesario para el tratamiento de datos, no siendo el único exigible.
De la documentación no existen evidencias de la realización de la evaluación de impacto de protección de datos.
La directora de la AEPD RESUELVE:
Primero: Imponer a la entidad XXX una multa de 20.000 euros por una infracción del artículo 35 del RGPD de conformidad con el artículo 83.4 a) del RGPD por realizar registros biométricos para las jornadas laborales.
Segundo: Así mismo, de conformidad con lo establecido en el artículo 85.2 de la LPACAP se le informa de que podrá llevar a cabo el pago voluntario de la sanción.