El pasado mes de octubre la AEPD sancionó con una multa 20.000€ a una empresa por la implementación de un sistema biométrico para el control de la jornada laboral sin haber realizado una EIPD (Evaluación de Impacto en la Protección de Datos) y dicho tratamiento se considera de alto riesgo.
La empresa reclamada implementó un sistema de control de entrada y registro de jornada para los trabajadores a través de un sistema biométrico mediante huella digital que estuvo en funcionamiento dos meses, conviviendo con el control de jornada a través del lector de tarjeta que venían utilizando. La empresa justificó a la Agencia la decisión de modificar el sistema de registro de jornada para mejorar la productividad dado que las tarjetas de fichaje podían ser utilizadas por otro trabajador que fichara por el titular.
En primer lugar, el RGPD, en el artículo 9.1, regula que queda prohibido el tratamiento de datos biométricos excepto que sea para el cumplimiento de obligaciones en el ámbito del
Derecho laboral (9.2. b). Excepción no aplicable a este caso, porque la obligación legal de registro de jornada laboral ya se satisfacía con el uso de las tarjetas.
La empresa alegó que el programa utilizado no estaba basado en un sistema de identificación biométrica, sino en un sistema de verificación/autenticación. Es decir, que el sistema se basa en la comparación de un patrón de puntos de la huella dactilar del trabajador con la que se registró inicialmente (1:1), pero que en ningún caso se almacena una imagen completa de la huella. Por ello, en el análisis de riesgos de actividades de tratamiento realizado se configuró el tratamiento como de “escaso riesgo” no considerando necesario realizar una EIPD.
Sin embargo, la AEPD sostiene que aunque no se guarde la imagen completa de la huella, se puede identificar unívocamente a cada empleado al estimarse que la comparación se realiza con todas las huellas almacenadas en la base de datos, es decir, se realiza una comparación de uno a varios (1:N). Por lo tanto, dada esa circunstancia, sí que se trata de un sistema de identificación biométrico considerándose un tratamiento de datos de carácter personal de categoría especial y siendo necesario realizar una EIPD, en concreto, porque se dan dos de las circunstancias recogidas en el listado publicado por la AEPD sobre tipos de tratamientos que requieren Evaluación de Impacto conforme al artículo 35.4, en concreto:
- El tratamiento de datos de categorías especiales del artículo 9.1.
- El tratamiento de datos biométricos con el propósito de identificar de manera única a una persona física.
Además, la AEPD explica que para utilizar este tipo de sistema basado en datos biométricos, hay que respetar los principios de legalidad, proporcionalidad y minimización de datos. Para analizar la idoneidad del sistema biométrico, es preciso considerar previamente si resulta esencial para satisfacer la necesidad y no solo valorar si es el más adecuado o rentable para la empresa, además debe ser eficaz. Asimismo, hay que tener en cuenta si la pérdida de intimidad del titular es proporcional a los beneficios obtenidos por la empresa, no resultando apropiada la justificación basada en una mayor comodidad o un ligero ahorro. También hay que constatar si existe un medio menos invasivo.
Finalmente, la AEPD impuso a la empresa infractora una sanción de 20.000 euros reducida a 16.000 por pago voluntario.
En resumen, los puntos más relevantes de la resolución son la distinción entre sistema de identificación biométrico y el sistema de autenticación biométrico, el hecho de que solo se almacenen coordenadas de la huella (y no la huella completa) no impide considerar que estamos ante un sistema de identificación biométrico, siendo necesario una EIPD para poder valorar los riesgos que suponen para los datos personales. Valorando, además si para la finalidad que se persigue, como es el registro de la jornada, existen medios menos intrusivos como un lector de tarjetas.
Carlos Díaz García
Laura Sosa Grande
